Osiris, varian Locky setelah Thor

Posted in internet, Virus Asing on Dec 20, 2016

osiris

Setelah pada bulan Oktober 2016 lalu Locky Ransomware menggunakan nama dewa-dewa dalam setiap rilis versi atau variant-nya, dan sempat tidak menggunakan codename dewa-dewa, yakni Ransomware Shit, kini Desember 2016 Ransomware Locky kembali lagi dengan codename dewa-dewa, yakni Dewa Alam Baka atau Osiris.

Teknik Penyebaran

Masih menggunakan teknik yang sama dengan variant Ransomware pendahulunya, penyebaran via EMail adalah teknik yang digunakan oleh Ransomware Osiris ini. Caranya ialah dengan melampirkan file, bisa berupa JS (javascript) atau XLS (Excel), yang terpaket kedalam Zip. Jika file didalam Zip tersebut dijalankan, maka file downloader+launcher Ransomware Osiris ini akan mencoba untuk segera mendownload induknya pada 3 server yang telah disediakan.

osirisattack

Aksi Virus

Setelah selesai mendownload induk virus, file induk virus Osiris disimpan pada: %temp%/lodka
Ukuran file: 176 KB (180.224 bytes)
File tersebut tidak bisa dijalankan begitu saja, karena merupakan file DLL yang terenkripsi, untuk itu pada file downloader+launcher juga terdapat dekriptornya, sehingga nama file induk virus Osiris menjadi: %temp%/shtefans2.spe (sudah didekripsi)
Ukuran file: 176 KB (180.224 bytes)

osirisdecriptself

Parameter untuk menjalankan Osiris: rundll32.exe C:\Users\%user%\AppData\Local\Temp\shtefans2.spe,plan

3-osiris-lodka-shtefans2-spe

File yang menjadi Incaran Ransomware Osiris

Seperti variant pendahulunya, setiap direktori yang dia enkripsi filenya, dia letakkan file ‘help’:

OSIRIS.htm
OSIRIS.bmp
_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Dan daftar file yang menjadi incaran untuk dijadikan sanderanya adalah:

.yuv; .ycbcra; .xis; .wpd; .tex; .sxg; .stx; .srw; .srf; .sqlitedb; .sqlite3; .sqlite; .sdf; .sda; .s3db; .rwz; .rwl; .rdb; .rat; .raf; .qby; .qbx; .qbw; .qbr; .qba; .psafe3; .plc; .plus_muhd; .pdd; .oth; .orf; .odm; .odf; .nyf; .nxl; .nwb; .nrw; .nop; .nef; .ndd; .myd; .mrw; .moneywell; .mny; .mmw; .mfw; .mef; .mdc; .lua; .kpdx; .kdc; .kdbx; .jpe; .incpas; .iiq; .ibz; .ibank; .hbk; .gry; .grey; .gray; .fhd; .ffd; .exf; .erf; .erbsql; .eml; .dxg; .drf; .dng; .dgc; .des; .der; .ddrw; .ddoc; .dcs; .db_journal; .csl; .csh; .crw; .craw; .cib; .cdrw; .cdr6; .cdr5; .cdr4; .cdr3; .bpw; .bgt; .bdb; .bay; .bank; .backupdb; .backup; .back; .awg; .apj; .ait; .agdl; .ads; .adb; .acr; .ach; .accdt; .accdr; .accde; .vmxf; .vmsd; .vhdx; .vhd; .vbox; .stm; .rvt; .qcow; .qed; .pif; .pdb; .pab; .ost; .ogg; .nvram; .ndf; .m2ts; .log; .hpp; .hdd; .groups; .flvv; .edb; .dit; .dat; .cmt; .bin; .aiff; .xlk; .wad; .tlg; .say; .sas7bdat; .qbm; .qbb; .ptx; .pfx; .pef; .pat; .oil; .odc; .nsh; .nsg; .nsf; .nsd; .mos; .indd; .iif; .fpx; .fff; .fdb; .dtd; .design; .ddd; .dcr; .dac; .cdx; .cdf; .blend; .bkp; .adp; .act; .xlr; .xlam; .xla; .wps; .tga; .pspimage; .pct; .pcd; .fxg; .flac; .eps; .dxb; .drw; .dot; .cpi; .cls; .cdr; .arw; .aac; .thm; .srt; .save; .safe; .pwm; .pages; .obj; .mlb; .mbx; .lit; .laccdb; .kwm; .idx; .html; .flf; .dxf; .dwg; .dds; .csv; .css; .config; .cfg; .cer; .asx; .aspx; .aoi; .accdb; .7zip; .xls; .wab; .rtf; .prf; .ppt; .oab; .msg; .mapimail; .jnt; .doc; .dbx; .contact; .mid; .wma; .flv; .mkv; .mov; .avi; .asf; .mpeg; .vob; .mpg; .wmv; .fla; .swf; .wav; .qcow2; .vdi; .vmdk; .vmx; .wallet; .upk; .sav; .ltx; .litesql; .litemod; .lbf; .iwi; .forge; .das; .d3dbsp; .bsa; .bik; .asset; .apk; .gpg; .aes; .ARC; .PAQ; .tar.bz2; .tbk; .bak; .tar; .tgz; .rar; .zip; .djv; .djvu; .svg; .bmp; .png; .gif; .raw; .cgm; .jpeg; .jpg; .tif; .tiff; .NEF; .psd; .cmd; .bat; .class; .jar; .java; .asp; .brd; .sch; .dch; .dip; .vbs; .asm; .pas; .cpp; .php; .ldf; .mdf; .ibd; .MYI; .MYD; .frm; .odb; .dbf; .mdb; .sql; .SQLITEDB; .SQLITE3; .pst; .onetoc2; .asc; .lay6; .lay; .ms11 (Security copy); .sldm; .sldx; .ppsm; .ppsx; .ppam; .docb; .mml; .sxm; .otg; .odg; .uop; .potx; .potm; .pptx; .pptm; .std; .sxd; .pot; .pps; .sti; .sxi; .otp; .odp; .wks; .xltx; .xltm; .xlsx; .xlsm; .xlsb; .slk; .xlw; .xlt; .xlm; .xlc; .dif; .stc; .sxc; .ots; .ods; .hwp; .dotm; .dotx; .docm; .docx; .DOT; .max; .xml; .txt; .CSV; .uot; .RTF; .pdf; .XLS; .PPT; .stw; .sxw; .ott; .odt; .DOC; .pem; .csr; .crt; .key

Jika daftar file tersebut Anda miliki, dan Anda terkena Ransomware Osiris ini, katakan “Selamat jalan ke alam baka, file-file….

Antisipasi Ransomware

Smadav sudah melakukan antisipasi terhadap penyebaran virus ini (Ransomware), yakni dengan adanya fitur Disable Macro.

Namun jika Anda ingin mengaktifkan Macro, misalkan untuk mengolah data Nilai Siswa, Raport, atau pengolahan data lainnya menggunakan Excel, Anda masih tetap bisa mengaktifkannya dengan meng-Enable Macro menggunakan klik kanan Tray Icon Smadav, pilih opsi yang Anda perlukan.

Smadav akan terus memperbaiki pertahanan terhadap vuln Macro dan Windows Script, demi berjaga-jaga atas serangan variant-variant Ransomware terbaru.

Tak hanya Smadav, menurut analisa penulis, GMail sebagai penyedia jasa EMail pun telah memperketat pertukaran file, yakni memberi label SPAM pada file yang terlampir dengan Zip. Bahkan yang tadinya tidak bisa mendownload sample virus downloader/launcher Ransomware menggunakan mode Desktop, dan tetap bisa mendownload sample tersebut menggunakan mode mobile, sekarang kedua mode tersebut sudah tidak bisa lagi. Dan yang kena imbas, walaupun user hanya mengirim file biasa, bukan file virus, namun berupa file Excel dan dipaket menggunakan Zip, juga akan mengalami kesulitan menemukan filenya, lantaran masuk dalam label atau folder SPAM, bukan yang seharusnya di INBOX.

Silakan download Smadav hanya di situs web resmi Smadav: http://smadav.net/

 

 

17 Responses to “Osiris, varian Locky setelah Thor”


  1. Fidelis Madziwa says:

    Smadav is second to none

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Wed, 11:55 am

    dauna yakubu: i need your protection

    zaim: nice

    christina marino: nice antivirus.. recommended to be use by most computer technicians

    sunday: good

    dathog: smadav le meilleur antivirus que je jamais connue

    soleil mata: DIEU EST SIMON KIMBANGU C-EST MA FOI

    kasiku akakulubelwa: 2017 smadav is strong and fights the viruses well

    blessing olatise: this working fine.

    lequuddin: wonderfull

    selamu: thans

    » Tuliskan komentar Anda :