Thor, Ransomware Keturunan Dewa Odin

Posted in internet, Virus Asing on Oct 27, 2016

thorda78axt

Masih satu keluarga dengan Odin (ransomware). Jika Odin menggunakan WSF sebagai downloader + launcher, Thor menggunakan VBS sebagai downloader dan launchernya.

Script VBS Downloader + Launcher Thor

script-thor-vbs

Pada gambar Script VBS Thor di atas (enkripsi mode char), terlihat Thor memiliki sebanyak 5 buah “Asgard” (server induk virus) yang berbeda-beda:

1. http://cpugame.com/r3octl

2. http://chuvafeatherstone.com/rve6j

3. http://ciscscout.net/rvkbiv3t

4. http://roweliced.net/a1f8yb

5. http://sheatcatan.com/awcdu3

Kita tidak bisa menyimpulkan bahwa ke-5 server tersebut adalah milik Programmer virus Thor, karena bisa saja itu hanyalah web penitipan induk virus, yang mereka kuasai dari hasil Hacking Website.

Setiap file yang didownload oleh script VBS Thor (induk virus, dicompile menggunakan Microsoft Linker 15.0 DLL32), diberi nama “ICfSY7eq“, dan diberi ekstensi “.dll” bericon “tanda seru” atau huruf “i” berwarna putih dan dikelilingi “warna biru” jika ekstensinya diganti menjadi “.exe”, namun bukan berarti file induk virus Thor ini berupa “EXE” sekaligus “DLL“, bukan! Namun (lagi), suatu hari mungkin hal ini bisa terjadi, sebuah file DLL (rundll32 as engine) adalah juga file EXE, atau sebaliknya.

thor-icon

Aksi Virus

Virus aktif jika dipanggil dengan parameter: EnhancedStoragePasswordConfig 147

thor-ransomware-work

Saat virus aktif, dia akan menghancurkan (enkripsi) apa (file) yang dilaluinya, bisa HTML; PHP; dan berbagai ekstensi file yang sudah diprogram padanya, dan diberi tanda .thor setelah file tersebut dienkripsi -> diberi penamaan khusus bahwa file telah dienkripsi -> .thor

thor-ransomware

thor-ransomware-extention

Untuk petunjuk penukaran file terenkripsi dengan file normal, virus Thor menyisipkan file “_10_WHAT_is.html” pada direktory yang sama dengan file-file yang kondisinya terenkripsi.

Berikut daftar nama file help yang dibuat oleh Ransom Thor:

_WHAT_is.html
_WHAT_is.html
_WHAT_is.bmp

_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Daftar File yang Diserang Thor

yuv; ycbcra; xis; wpd; tex; sxg; stx; srw; srf; sqlitedb; sqlite3; sqlite; sdf; sda; s3db; rwz; rwl; rdb; rat; raf; qby; qbx; qbw; qbr; qba; psafe3; plc; plus_muhd; pdd; oth; orf; odm; odf; nyf; nxl; nwb; nrw; nop; nef; ndd; myd; mrw; moneywell; mny; mmw; mfw; mef; mdc; lua; kpdx; kdc; kdbx; jpe; incpas; iiq; ibz; ibank; hbk; gry; grey; gray; fhd; ffd; exf; erf; erbsql; eml; dxg; drf; dng; dgc; des; der; ddrw; ddoc; dcs; db_journal; csl; csh; crw; craw; cib; cdrw; cdr6; cdr5; cdr4; cdr3; bpw; bgt; bdb; bay; bank; backupdb; backup; back; awg; apj; ait; agdl; ads; adb; acr; ach; accdt; accdr; accde; vmxf; vmsd; vhdx; vhd; vbox; stm; rvt; qcow; qed; pif; pdb; pab; ost; ogg; nvram; ndf; m2ts; log; hpp; hdd; groups; flvv; edb; dit; dat; cmt; bin; aiff; xlk; wad; tlg; say; sas7bdat; qbm; qbb; ptx; pfx; pef; pat; oil; odc; nsh; nsg; nsf; nsd; mos; indd; iif; fpx; fff; fdb; dtd; design; ddd; dcr; dac; cdx; cdf; blend; bkp; adp; act; xlr; xlam; xla; wps; tga; pspimage; pct; pcd; fxg; flac; eps; dxb; drw; dot; cpi; cls; cdr; arw; aac; thm; srt; save; safe; pwm; pages; obj; mlb; mbx; lit; laccdb; kwm; idx; html; flf; dxf; dwg; dds; csv; css; config; cfg; cer; asx; aspx; aoi; accdb; 7zip; xls; wab; rtf; prf; ppt; oab; msg; mapimail; jnt; doc; dbx; contact; mid; wma; flv; mkv; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; qcow2; vdi; vmdk; vmx; wallet; upk; sav; ltx; litesql; litemod; lbf; iwi; forge; das; d3dbsp; bsa; bik; asset; apk; gpg; aes; ARC; PAQ; tar.bz2; tbk; bak; tar; tgz; rar; zip; djv; djvu; svg; bmp; png; gif; raw; cgm; jpeg; jpg; tif; tiff; NEF; psd; cmd; bat; class; jar; java; asp; brd; sch; dch; dip; vbs; asm; pas; cpp; php; ldf; mdf; ibd; MYI; MYD; frm; odb; dbf; mdb; sql; SQLITEDB; SQLITE3; pst; onetoc2; asc; lay6; lay; ms11 (Security copy); sldm; sldx; ppsm; ppsx; ppam; docb; mml; sxm; otg; odg; uop; potx; potm; pptx; pptm; std; sxd; pot; pps; sti; sxi; otp; odp; wks; xltx; xltm; xlsx; xlsm; xlsb; slk; xlw; xlt; xlm; xlc; dif; stc; sxc; ots; ods; hwp; dotm; dotx; docm; docx; DOT; max; xml; txt; CSV; uot; RTF; pdf; XLS; PPT; stw; sxw; ott; odt; DOC; pem; csr; crt; key

Pencegahan Virus Ransomware

Meski Smadav belum bisa mendeteksi file induk virus Thor, maupun variant lainnya dari virus Ransomware, Smadav sudah sejak dari beberapa revisi sebelumnya menyematkan Tameng Anti Ransomware, yang dapat diatur dengan cara mengklik Tray Icon Smadav yang ada di pojok dekat jam untuk menonaktifkan atau mengaktifkannya.

disable-wscript

 

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 08:20 pm

    Azis: @ CEMEWEW, you can go to on http://www.konfirmasi.com/ fo asking to the Smadav Team.

    Azis: @Ransford Odumang, you can inform it to on Smadav email: Smadav@gmail.com.

    Ransford Odumang: I lost my licence key by formatting my pc , i want it back

    CEMEWEW: gan,, ane kna virus yg ngehidden file, tapi bukan virus shortcut, didalemnya ada folder 2 folder {2a40100f-de55-d1ca-1c90-ac00adec4c50} dan autorun.inf di dalem autorun.inf ada file protection for autorun, gimana tuh [...]

    Azis: @fajar, download lagi di http://www.smadav.net

    fajar: tolong mengapa komputer sayatidak bisa buat donwlod

    Azis: @evalyn kasivo, If you wanna get it, You go to on http://www.smadav.net/?lang=en to download it.

    evalyn kasivo: how can i get into this

    Bentshu maitele lincoln: GREAT

    Ricky: Sebagai catatan : Smadav adalah antivirus pelengkap.. dan sebagai antivirus pelengkap maka smadav sudah tergolong the best made in Indonesia free antivirus.. Saran saya gabungkan avast [...]

    » Tuliskan komentar Anda :