Thor, Ransomware Keturunan Dewa Odin

Posted in internet, Virus Asing on Oct 27, 2016

thorda78axt

Masih satu keluarga dengan Odin (ransomware). Jika Odin menggunakan WSF sebagai downloader + launcher, Thor menggunakan VBS sebagai downloader dan launchernya.

Script VBS Downloader + Launcher Thor

script-thor-vbs

Pada gambar Script VBS Thor di atas (enkripsi mode char), terlihat Thor memiliki sebanyak 5 buah “Asgard” (server induk virus) yang berbeda-beda:

1. http://cpugame.com/r3octl

2. http://chuvafeatherstone.com/rve6j

3. http://ciscscout.net/rvkbiv3t

4. http://roweliced.net/a1f8yb

5. http://sheatcatan.com/awcdu3

Kita tidak bisa menyimpulkan bahwa ke-5 server tersebut adalah milik Programmer virus Thor, karena bisa saja itu hanyalah web penitipan induk virus, yang mereka kuasai dari hasil Hacking Website.

Setiap file yang didownload oleh script VBS Thor (induk virus, dicompile menggunakan Microsoft Linker 15.0 DLL32), diberi nama “ICfSY7eq“, dan diberi ekstensi “.dll” bericon “tanda seru” atau huruf “i” berwarna putih dan dikelilingi “warna biru” jika ekstensinya diganti menjadi “.exe”, namun bukan berarti file induk virus Thor ini berupa “EXE” sekaligus “DLL“, bukan! Namun (lagi), suatu hari mungkin hal ini bisa terjadi, sebuah file DLL (rundll32 as engine) adalah juga file EXE, atau sebaliknya.

thor-icon

Aksi Virus

Virus aktif jika dipanggil dengan parameter: EnhancedStoragePasswordConfig 147

thor-ransomware-work

Saat virus aktif, dia akan menghancurkan (enkripsi) apa (file) yang dilaluinya, bisa HTML; PHP; dan berbagai ekstensi file yang sudah diprogram padanya, dan diberi tanda .thor setelah file tersebut dienkripsi -> diberi penamaan khusus bahwa file telah dienkripsi -> .thor

thor-ransomware

thor-ransomware-extention

Untuk petunjuk penukaran file terenkripsi dengan file normal, virus Thor menyisipkan file “_10_WHAT_is.html” pada direktory yang sama dengan file-file yang kondisinya terenkripsi.

Berikut daftar nama file help yang dibuat oleh Ransom Thor:

_WHAT_is.html
_WHAT_is.html
_WHAT_is.bmp

_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Daftar File yang Diserang Thor

yuv; ycbcra; xis; wpd; tex; sxg; stx; srw; srf; sqlitedb; sqlite3; sqlite; sdf; sda; s3db; rwz; rwl; rdb; rat; raf; qby; qbx; qbw; qbr; qba; psafe3; plc; plus_muhd; pdd; oth; orf; odm; odf; nyf; nxl; nwb; nrw; nop; nef; ndd; myd; mrw; moneywell; mny; mmw; mfw; mef; mdc; lua; kpdx; kdc; kdbx; jpe; incpas; iiq; ibz; ibank; hbk; gry; grey; gray; fhd; ffd; exf; erf; erbsql; eml; dxg; drf; dng; dgc; des; der; ddrw; ddoc; dcs; db_journal; csl; csh; crw; craw; cib; cdrw; cdr6; cdr5; cdr4; cdr3; bpw; bgt; bdb; bay; bank; backupdb; backup; back; awg; apj; ait; agdl; ads; adb; acr; ach; accdt; accdr; accde; vmxf; vmsd; vhdx; vhd; vbox; stm; rvt; qcow; qed; pif; pdb; pab; ost; ogg; nvram; ndf; m2ts; log; hpp; hdd; groups; flvv; edb; dit; dat; cmt; bin; aiff; xlk; wad; tlg; say; sas7bdat; qbm; qbb; ptx; pfx; pef; pat; oil; odc; nsh; nsg; nsf; nsd; mos; indd; iif; fpx; fff; fdb; dtd; design; ddd; dcr; dac; cdx; cdf; blend; bkp; adp; act; xlr; xlam; xla; wps; tga; pspimage; pct; pcd; fxg; flac; eps; dxb; drw; dot; cpi; cls; cdr; arw; aac; thm; srt; save; safe; pwm; pages; obj; mlb; mbx; lit; laccdb; kwm; idx; html; flf; dxf; dwg; dds; csv; css; config; cfg; cer; asx; aspx; aoi; accdb; 7zip; xls; wab; rtf; prf; ppt; oab; msg; mapimail; jnt; doc; dbx; contact; mid; wma; flv; mkv; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; qcow2; vdi; vmdk; vmx; wallet; upk; sav; ltx; litesql; litemod; lbf; iwi; forge; das; d3dbsp; bsa; bik; asset; apk; gpg; aes; ARC; PAQ; tar.bz2; tbk; bak; tar; tgz; rar; zip; djv; djvu; svg; bmp; png; gif; raw; cgm; jpeg; jpg; tif; tiff; NEF; psd; cmd; bat; class; jar; java; asp; brd; sch; dch; dip; vbs; asm; pas; cpp; php; ldf; mdf; ibd; MYI; MYD; frm; odb; dbf; mdb; sql; SQLITEDB; SQLITE3; pst; onetoc2; asc; lay6; lay; ms11 (Security copy); sldm; sldx; ppsm; ppsx; ppam; docb; mml; sxm; otg; odg; uop; potx; potm; pptx; pptm; std; sxd; pot; pps; sti; sxi; otp; odp; wks; xltx; xltm; xlsx; xlsm; xlsb; slk; xlw; xlt; xlm; xlc; dif; stc; sxc; ots; ods; hwp; dotm; dotx; docm; docx; DOT; max; xml; txt; CSV; uot; RTF; pdf; XLS; PPT; stw; sxw; ott; odt; DOC; pem; csr; crt; key

Pencegahan Virus Ransomware

Meski Smadav belum bisa mendeteksi file induk virus Thor, maupun variant lainnya dari virus Ransomware, Smadav sudah sejak dari beberapa revisi sebelumnya menyematkan Tameng Anti Ransomware, yang dapat diatur dengan cara mengklik Tray Icon Smadav yang ada di pojok dekat jam untuk menonaktifkan atau mengaktifkannya.

disable-wscript

 

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Mon, 12:16 am

    Mimose Desir: Je suis contente d'avoir cette nouvelle version

    Burlington coupons: Great product! Fast shipping! Thanks. Burlington coupons http://www.burlingtoncoatcoupons.com

    titus: good one

    titus: good

    ochitiga muzamil: perfect one

    djkaybee: good one

    okochi emmanuel: perfect service

    Asmawi: Ingin yang terbaik

    carolyn: very good

    mubarak rabiu: good experiance

    » Tuliskan komentar Anda :