Thor, Ransomware Keturunan Dewa Odin

Posted in internet, Virus Asing on Oct 27, 2016

thorda78axt

Masih satu keluarga dengan Odin (ransomware). Jika Odin menggunakan WSF sebagai downloader + launcher, Thor menggunakan VBS sebagai downloader dan launchernya.

Script VBS Downloader + Launcher Thor

script-thor-vbs

Pada gambar Script VBS Thor di atas (enkripsi mode char), terlihat Thor memiliki sebanyak 5 buah “Asgard” (server induk virus) yang berbeda-beda:

1. http://cpugame.com/r3octl

2. http://chuvafeatherstone.com/rve6j

3. http://ciscscout.net/rvkbiv3t

4. http://roweliced.net/a1f8yb

5. http://sheatcatan.com/awcdu3

Kita tidak bisa menyimpulkan bahwa ke-5 server tersebut adalah milik Programmer virus Thor, karena bisa saja itu hanyalah web penitipan induk virus, yang mereka kuasai dari hasil Hacking Website.

Setiap file yang didownload oleh script VBS Thor (induk virus, dicompile menggunakan Microsoft Linker 15.0 DLL32), diberi nama “ICfSY7eq“, dan diberi ekstensi “.dll” bericon “tanda seru” atau huruf “i” berwarna putih dan dikelilingi “warna biru” jika ekstensinya diganti menjadi “.exe”, namun bukan berarti file induk virus Thor ini berupa “EXE” sekaligus “DLL“, bukan! Namun (lagi), suatu hari mungkin hal ini bisa terjadi, sebuah file DLL (rundll32 as engine) adalah juga file EXE, atau sebaliknya.

thor-icon

Aksi Virus

Virus aktif jika dipanggil dengan parameter: EnhancedStoragePasswordConfig 147

thor-ransomware-work

Saat virus aktif, dia akan menghancurkan (enkripsi) apa (file) yang dilaluinya, bisa HTML; PHP; dan berbagai ekstensi file yang sudah diprogram padanya, dan diberi tanda .thor setelah file tersebut dienkripsi -> diberi penamaan khusus bahwa file telah dienkripsi -> .thor

thor-ransomware

thor-ransomware-extention

Untuk petunjuk penukaran file terenkripsi dengan file normal, virus Thor menyisipkan file “_10_WHAT_is.html” pada direktory yang sama dengan file-file yang kondisinya terenkripsi.

Berikut daftar nama file help yang dibuat oleh Ransom Thor:

_WHAT_is.html
_WHAT_is.html
_WHAT_is.bmp

_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Daftar File yang Diserang Thor

yuv; ycbcra; xis; wpd; tex; sxg; stx; srw; srf; sqlitedb; sqlite3; sqlite; sdf; sda; s3db; rwz; rwl; rdb; rat; raf; qby; qbx; qbw; qbr; qba; psafe3; plc; plus_muhd; pdd; oth; orf; odm; odf; nyf; nxl; nwb; nrw; nop; nef; ndd; myd; mrw; moneywell; mny; mmw; mfw; mef; mdc; lua; kpdx; kdc; kdbx; jpe; incpas; iiq; ibz; ibank; hbk; gry; grey; gray; fhd; ffd; exf; erf; erbsql; eml; dxg; drf; dng; dgc; des; der; ddrw; ddoc; dcs; db_journal; csl; csh; crw; craw; cib; cdrw; cdr6; cdr5; cdr4; cdr3; bpw; bgt; bdb; bay; bank; backupdb; backup; back; awg; apj; ait; agdl; ads; adb; acr; ach; accdt; accdr; accde; vmxf; vmsd; vhdx; vhd; vbox; stm; rvt; qcow; qed; pif; pdb; pab; ost; ogg; nvram; ndf; m2ts; log; hpp; hdd; groups; flvv; edb; dit; dat; cmt; bin; aiff; xlk; wad; tlg; say; sas7bdat; qbm; qbb; ptx; pfx; pef; pat; oil; odc; nsh; nsg; nsf; nsd; mos; indd; iif; fpx; fff; fdb; dtd; design; ddd; dcr; dac; cdx; cdf; blend; bkp; adp; act; xlr; xlam; xla; wps; tga; pspimage; pct; pcd; fxg; flac; eps; dxb; drw; dot; cpi; cls; cdr; arw; aac; thm; srt; save; safe; pwm; pages; obj; mlb; mbx; lit; laccdb; kwm; idx; html; flf; dxf; dwg; dds; csv; css; config; cfg; cer; asx; aspx; aoi; accdb; 7zip; xls; wab; rtf; prf; ppt; oab; msg; mapimail; jnt; doc; dbx; contact; mid; wma; flv; mkv; mov; avi; asf; mpeg; vob; mpg; wmv; fla; swf; wav; qcow2; vdi; vmdk; vmx; wallet; upk; sav; ltx; litesql; litemod; lbf; iwi; forge; das; d3dbsp; bsa; bik; asset; apk; gpg; aes; ARC; PAQ; tar.bz2; tbk; bak; tar; tgz; rar; zip; djv; djvu; svg; bmp; png; gif; raw; cgm; jpeg; jpg; tif; tiff; NEF; psd; cmd; bat; class; jar; java; asp; brd; sch; dch; dip; vbs; asm; pas; cpp; php; ldf; mdf; ibd; MYI; MYD; frm; odb; dbf; mdb; sql; SQLITEDB; SQLITE3; pst; onetoc2; asc; lay6; lay; ms11 (Security copy); sldm; sldx; ppsm; ppsx; ppam; docb; mml; sxm; otg; odg; uop; potx; potm; pptx; pptm; std; sxd; pot; pps; sti; sxi; otp; odp; wks; xltx; xltm; xlsx; xlsm; xlsb; slk; xlw; xlt; xlm; xlc; dif; stc; sxc; ots; ods; hwp; dotm; dotx; docm; docx; DOT; max; xml; txt; CSV; uot; RTF; pdf; XLS; PPT; stw; sxw; ott; odt; DOC; pem; csr; crt; key

Pencegahan Virus Ransomware

Meski Smadav belum bisa mendeteksi file induk virus Thor, maupun variant lainnya dari virus Ransomware, Smadav sudah sejak dari beberapa revisi sebelumnya menyematkan Tameng Anti Ransomware, yang dapat diatur dengan cara mengklik Tray Icon Smadav yang ada di pojok dekat jam untuk menonaktifkan atau mengaktifkannya.

disable-wscript

 

 

2 Responses to “Thor, Ransomware Keturunan Dewa Odin”


  1. This software is very essential for providing protection from dangerous viros’s.

     
  2. A. Nasution says:

    Berlangganan Smadav karena bagus utk anti virus

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 02:06 pm

    daniel hailu: smadave flash antivires

    yadetageemechi: install antivirus

    clement ouedraogo: C'est vraiment le meilleur

    Bouba SISSOKO: Je vous remercie pour le service. Je voudrai que mon ordinateur soit protégé contre les objets malveillants.

    andrywahyuni: aku ingin yang lebih baik lagi

    aidan d. kimath: good

    nanda: bagus

    PALOMAN: LAFIA KODA WAHABOU

    LAFIA KODA WAHABOU: merci d'abord pour votre aide . Je voudrais bien que mon ordinateur soit protégé en toute sécurité contre n'importe quels virus...merci pour votre aimable compréhension

    Fihir Saranani,S.Si: Bersatu Kita Teguh Bercerai Kita Runtuh

    » Tuliskan komentar Anda :