Osiris, varian Locky setelah Thor

Posted in internet, Virus Asing on Dec 20, 2016

osiris

Setelah pada bulan Oktober 2016 lalu Locky Ransomware menggunakan nama dewa-dewa dalam setiap rilis versi atau variant-nya, dan sempat tidak menggunakan codename dewa-dewa, yakni Ransomware Shit, kini Desember 2016 Ransomware Locky kembali lagi dengan codename dewa-dewa, yakni Dewa Alam Baka atau Osiris.

Teknik Penyebaran

Masih menggunakan teknik yang sama dengan variant Ransomware pendahulunya, penyebaran via EMail adalah teknik yang digunakan oleh Ransomware Osiris ini. Caranya ialah dengan melampirkan file, bisa berupa JS (javascript) atau XLS (Excel), yang terpaket kedalam Zip. Jika file didalam Zip tersebut dijalankan, maka file downloader+launcher Ransomware Osiris ini akan mencoba untuk segera mendownload induknya pada 3 server yang telah disediakan.

osirisattack

Aksi Virus

Setelah selesai mendownload induk virus, file induk virus Osiris disimpan pada: %temp%/lodka
Ukuran file: 176 KB (180.224 bytes)
File tersebut tidak bisa dijalankan begitu saja, karena merupakan file DLL yang terenkripsi, untuk itu pada file downloader+launcher juga terdapat dekriptornya, sehingga nama file induk virus Osiris menjadi: %temp%/shtefans2.spe (sudah didekripsi)
Ukuran file: 176 KB (180.224 bytes)

osirisdecriptself

Parameter untuk menjalankan Osiris: rundll32.exe C:\Users\%user%\AppData\Local\Temp\shtefans2.spe,plan

3-osiris-lodka-shtefans2-spe

File yang menjadi Incaran Ransomware Osiris

Seperti variant pendahulunya, setiap direktori yang dia enkripsi filenya, dia letakkan file ‘help’:

OSIRIS.htm
OSIRIS.bmp
_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Dan daftar file yang menjadi incaran untuk dijadikan sanderanya adalah:

.yuv; .ycbcra; .xis; .wpd; .tex; .sxg; .stx; .srw; .srf; .sqlitedb; .sqlite3; .sqlite; .sdf; .sda; .s3db; .rwz; .rwl; .rdb; .rat; .raf; .qby; .qbx; .qbw; .qbr; .qba; .psafe3; .plc; .plus_muhd; .pdd; .oth; .orf; .odm; .odf; .nyf; .nxl; .nwb; .nrw; .nop; .nef; .ndd; .myd; .mrw; .moneywell; .mny; .mmw; .mfw; .mef; .mdc; .lua; .kpdx; .kdc; .kdbx; .jpe; .incpas; .iiq; .ibz; .ibank; .hbk; .gry; .grey; .gray; .fhd; .ffd; .exf; .erf; .erbsql; .eml; .dxg; .drf; .dng; .dgc; .des; .der; .ddrw; .ddoc; .dcs; .db_journal; .csl; .csh; .crw; .craw; .cib; .cdrw; .cdr6; .cdr5; .cdr4; .cdr3; .bpw; .bgt; .bdb; .bay; .bank; .backupdb; .backup; .back; .awg; .apj; .ait; .agdl; .ads; .adb; .acr; .ach; .accdt; .accdr; .accde; .vmxf; .vmsd; .vhdx; .vhd; .vbox; .stm; .rvt; .qcow; .qed; .pif; .pdb; .pab; .ost; .ogg; .nvram; .ndf; .m2ts; .log; .hpp; .hdd; .groups; .flvv; .edb; .dit; .dat; .cmt; .bin; .aiff; .xlk; .wad; .tlg; .say; .sas7bdat; .qbm; .qbb; .ptx; .pfx; .pef; .pat; .oil; .odc; .nsh; .nsg; .nsf; .nsd; .mos; .indd; .iif; .fpx; .fff; .fdb; .dtd; .design; .ddd; .dcr; .dac; .cdx; .cdf; .blend; .bkp; .adp; .act; .xlr; .xlam; .xla; .wps; .tga; .pspimage; .pct; .pcd; .fxg; .flac; .eps; .dxb; .drw; .dot; .cpi; .cls; .cdr; .arw; .aac; .thm; .srt; .save; .safe; .pwm; .pages; .obj; .mlb; .mbx; .lit; .laccdb; .kwm; .idx; .html; .flf; .dxf; .dwg; .dds; .csv; .css; .config; .cfg; .cer; .asx; .aspx; .aoi; .accdb; .7zip; .xls; .wab; .rtf; .prf; .ppt; .oab; .msg; .mapimail; .jnt; .doc; .dbx; .contact; .mid; .wma; .flv; .mkv; .mov; .avi; .asf; .mpeg; .vob; .mpg; .wmv; .fla; .swf; .wav; .qcow2; .vdi; .vmdk; .vmx; .wallet; .upk; .sav; .ltx; .litesql; .litemod; .lbf; .iwi; .forge; .das; .d3dbsp; .bsa; .bik; .asset; .apk; .gpg; .aes; .ARC; .PAQ; .tar.bz2; .tbk; .bak; .tar; .tgz; .rar; .zip; .djv; .djvu; .svg; .bmp; .png; .gif; .raw; .cgm; .jpeg; .jpg; .tif; .tiff; .NEF; .psd; .cmd; .bat; .class; .jar; .java; .asp; .brd; .sch; .dch; .dip; .vbs; .asm; .pas; .cpp; .php; .ldf; .mdf; .ibd; .MYI; .MYD; .frm; .odb; .dbf; .mdb; .sql; .SQLITEDB; .SQLITE3; .pst; .onetoc2; .asc; .lay6; .lay; .ms11 (Security copy); .sldm; .sldx; .ppsm; .ppsx; .ppam; .docb; .mml; .sxm; .otg; .odg; .uop; .potx; .potm; .pptx; .pptm; .std; .sxd; .pot; .pps; .sti; .sxi; .otp; .odp; .wks; .xltx; .xltm; .xlsx; .xlsm; .xlsb; .slk; .xlw; .xlt; .xlm; .xlc; .dif; .stc; .sxc; .ots; .ods; .hwp; .dotm; .dotx; .docm; .docx; .DOT; .max; .xml; .txt; .CSV; .uot; .RTF; .pdf; .XLS; .PPT; .stw; .sxw; .ott; .odt; .DOC; .pem; .csr; .crt; .key

Jika daftar file tersebut Anda miliki, dan Anda terkena Ransomware Osiris ini, katakan “Selamat jalan ke alam baka, file-file….

Antisipasi Ransomware

Smadav sudah melakukan antisipasi terhadap penyebaran virus ini (Ransomware), yakni dengan adanya fitur Disable Macro.

Namun jika Anda ingin mengaktifkan Macro, misalkan untuk mengolah data Nilai Siswa, Raport, atau pengolahan data lainnya menggunakan Excel, Anda masih tetap bisa mengaktifkannya dengan meng-Enable Macro menggunakan klik kanan Tray Icon Smadav, pilih opsi yang Anda perlukan.

Smadav akan terus memperbaiki pertahanan terhadap vuln Macro dan Windows Script, demi berjaga-jaga atas serangan variant-variant Ransomware terbaru.

Tak hanya Smadav, menurut analisa penulis, GMail sebagai penyedia jasa EMail pun telah memperketat pertukaran file, yakni memberi label SPAM pada file yang terlampir dengan Zip. Bahkan yang tadinya tidak bisa mendownload sample virus downloader/launcher Ransomware menggunakan mode Desktop, dan tetap bisa mendownload sample tersebut menggunakan mode mobile, sekarang kedua mode tersebut sudah tidak bisa lagi. Dan yang kena imbas, walaupun user hanya mengirim file biasa, bukan file virus, namun berupa file Excel dan dipaket menggunakan Zip, juga akan mengalami kesulitan menemukan filenya, lantaran masuk dalam label atau folder SPAM, bukan yang seharusnya di INBOX.

Silakan download Smadav hanya di situs web resmi Smadav: http://smadav.net/

 

 

Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Sun, 05:55 pm

    brightchilax: the antivirus is very good one.

    Azis: @mwesige james, You can download the newest version on the official website http://www.smadav.net/?lang=en .

    mwesige james: i like SMADAV because its very fuctional please allow me to download it

    lawrence: good

    mwesige james: i need new version 2017 because it work well

    Albert Kavanamur: thankyou very much for this, very trusting and reliable. thanks alot

    leiex: this is super

    Enos Maclain: I LIKE SMADAV

    nafiu aliyu: goooddd

    BAMILE FRANCIS: so far so good long live smadav

    » Tuliskan komentar Anda :