Thor, Ransomware Keturunan Dewa Odin

Posted in internet, Virus Asing on Oct 27, 2016

thorda78axt

Masih satu keluarga dengan Odin (ransomware). Jika Odin menggunakan WSF sebagai downloader + launcher, Thor menggunakan VBS sebagai downloader dan launchernya.

Script VBS Downloader + Launcher Thor

script-thor-vbs

Pada gambar Script VBS Thor di atas (enkripsi mode char), terlihat Thor memiliki sebanyak 5 buah “Asgard” (server induk virus) yang berbeda-beda:

1. http://cpugame.com/r3octl

2. http://chuvafeatherstone.com/rve6j

3. http://ciscscout.net/rvkbiv3t

4. http://roweliced.net/a1f8yb

5. http://sheatcatan.com/awcdu3

Kita tidak bisa menyimpulkan bahwa ke-5 server tersebut adalah milik Programmer virus Thor, karena bisa saja itu hanyalah web penitipan induk virus, yang mereka kuasai dari hasil Hacking Website.

Setiap file yang didownload oleh script VBS Thor (induk virus, dicompile menggunakan Microsoft Linker 15.0 DLL32), diberi nama “ICfSY7eq“, dan diberi ekstensi “.dll” bericon “tanda seru” atau huruf “i” berwarna putih dan dikelilingi “warna biru” jika ekstensinya diganti menjadi “.exe”, namun bukan berarti file induk virus Thor ini berupa “EXE” sekaligus “DLL“, bukan! Namun (lagi), suatu hari mungkin hal ini bisa terjadi, sebuah file DLL (rundll32 as engine) adalah juga file EXE, atau sebaliknya.

thor-icon

Aksi Virus

Virus aktif jika dipanggil dengan parameter: EnhancedStoragePasswordConfig 147

thor-ransomware-work

Saat virus aktif, dia akan menghancurkan (enkripsi) apa (file) yang dilaluinya, bisa HTML; PHP; dan berbagai ekstensi file yang sudah diprogram padanya, dan diberi tanda .thor setelah file tersebut dienkripsi -> diberi penamaan khusus bahwa file telah dienkripsi -> .thor

thor-ransomware

thor-ransomware-extention

Untuk petunjuk penukaran file terenkripsi dengan file normal, virus Thor menyisipkan file “_10_WHAT_is.html” pada direktory yang sama dengan file-file yang kondisinya terenkripsi.

Berikut daftar nama file help yang dibuat oleh Ransom Thor:

_WHAT_is.html
_WHAT_is.html
_WHAT_is.bmp

_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Daftar File yang Diserang Thor

yuv; ycbcra; xis; wpd; tex; sxg; stx; srw; srf; sqlitedb; sqlite3; sqlite; sdf; sda; s3db; rwz; rwl; rdb; rat; raf; qby; qbx; qbw; qbr; qba; psafe3; plc; plus_muhd; pdd; oth; orf; odm; odf; nyf; nxl; nwb; nrw; nop; nef; ndd; myd; mrw; moneywell; mny; mmw; mfw; mef; mdc; lua; kpdx; kdc; kdbx; jpe; incpas; iiq; ibz; ibank; hbk; gry; grey; gray; fhd; ffd; exf; erf; erbsql; eml; dxg; drf; dng; dgc; des; der; ddrw; ddoc; dcs; db_journal; csl; csh; crw; craw; cib; cdrw; cdr6; cdr5; cdr4; cdr3; bpw; bgt; bdb; bay; bank; backupdb; backup; back; awg; apj; ait; agdl; ads; adb; acr; ach; accdt; accdr; accde; vmxf; vmsd; vhdx; vhd; vbox; stm; rvt; qcow; qed; pif; pdb; pab; ost; ogg; nvram; ndf; m2ts; log; hpp; hdd; groups; flvv; edb; dit; dat; cmt; bin; aiff; xlk; wad; tlg; say; sas7bdat; qbm; qbb; ptx; pfx; pef; pat; oil; odc; nsh; nsg; nsf; nsd; mos; indd; iif; fpx; fff; fdb; dtd; design; ddd; dcr; dac; cdx; cdf; blend; bkp; adp; act; xlr; xlam; xla; wps; tga; pspimage; pct; pcd; fxg; flac; eps; dxb; drw; dot; cpi; cls; cdr; arw; aac; thm; srt; save; safe; pwm; pages; obj; mlb; mbx; lit; laccdb; kwm; idx; html; flf; dxf; dwg; dds; csv; css; config; cfg; cer; asx; aspx; aoi; accdb; 7zip; xls; wab; rtf; prf; ppt; oab; msg; mapimail; jnt; doc; dbx; contact; mid; wma; flv; mkv; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; qcow2; vdi; vmdk; vmx; wallet; upk; sav; ltx; litesql; litemod; lbf; iwi; forge; das; d3dbsp; bsa; bik; asset; apk; gpg; aes; ARC; PAQ; tar.bz2; tbk; bak; tar; tgz; rar; zip; djv; djvu; svg; bmp; png; gif; raw; cgm; jpeg; jpg; tif; tiff; NEF; psd; cmd; bat; class; jar; java; asp; brd; sch; dch; dip; vbs; asm; pas; cpp; php; ldf; mdf; ibd; MYI; MYD; frm; odb; dbf; mdb; sql; SQLITEDB; SQLITE3; pst; onetoc2; asc; lay6; lay; ms11 (Security copy); sldm; sldx; ppsm; ppsx; ppam; docb; mml; sxm; otg; odg; uop; potx; potm; pptx; pptm; std; sxd; pot; pps; sti; sxi; otp; odp; wks; xltx; xltm; xlsx; xlsm; xlsb; slk; xlw; xlt; xlm; xlc; dif; stc; sxc; ots; ods; hwp; dotm; dotx; docm; docx; DOT; max; xml; txt; CSV; uot; RTF; pdf; XLS; PPT; stw; sxw; ott; odt; DOC; pem; csr; crt; key

Pencegahan Virus Ransomware

Meski Smadav belum bisa mendeteksi file induk virus Thor, maupun variant lainnya dari virus Ransomware, Smadav sudah sejak dari beberapa revisi sebelumnya menyematkan Tameng Anti Ransomware, yang dapat diatur dengan cara mengklik Tray Icon Smadav yang ada di pojok dekat jam untuk menonaktifkan atau mengaktifkannya.

disable-wscript

 

 

2 Responses to “Thor, Ransomware Keturunan Dewa Odin”


  1. This software is very essential for providing protection from dangerous viros’s.

     
  2. A. Nasution says:

    Berlangganan Smadav karena bagus utk anti virus

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Tue, 10:38 am

    AF: virus HOUDINI.LNK hanya bisa QUARANTINE, tapi belum bisa di CLEAN.. menyebabkan file dan folder di dalam FD mjd hidden.. sample virus telah sy upload, mohon [...]

    Kemal Abdi: Good antivirus

    Azis: @ samuel suak, if you want to update the newest Smadav revision, you will do redownloading it on the http://www.smadav.net/?lang=en.

    S.ADITHYAN: nice

    dj killler osu: Action

    samuel suak: to updates Smadav Antivirus 2017

    samuel suak: to updates the Antiviriouse

    ASTOU DIAKHATE: Thinks

    Penaburgaram: Nice!!!

    faisalmorreson: soperb

    » Tuliskan komentar Anda :