Osiris, varian Locky setelah Thor

Posted in internet, Virus Asing on Dec 20, 2016

osiris

Setelah pada bulan Oktober 2016 lalu Locky Ransomware menggunakan nama dewa-dewa dalam setiap rilis versi atau variant-nya, dan sempat tidak menggunakan codename dewa-dewa, yakni Ransomware Shit, kini Desember 2016 Ransomware Locky kembali lagi dengan codename dewa-dewa, yakni Dewa Alam Baka atau Osiris.

Teknik Penyebaran

Masih menggunakan teknik yang sama dengan variant Ransomware pendahulunya, penyebaran via EMail adalah teknik yang digunakan oleh Ransomware Osiris ini. Caranya ialah dengan melampirkan file, bisa berupa JS (javascript) atau XLS (Excel), yang terpaket kedalam Zip. Jika file didalam Zip tersebut dijalankan, maka file downloader+launcher Ransomware Osiris ini akan mencoba untuk segera mendownload induknya pada 3 server yang telah disediakan.

osirisattack

Aksi Virus

Setelah selesai mendownload induk virus, file induk virus Osiris disimpan pada: %temp%/lodka
Ukuran file: 176 KB (180.224 bytes)
File tersebut tidak bisa dijalankan begitu saja, karena merupakan file DLL yang terenkripsi, untuk itu pada file downloader+launcher juga terdapat dekriptornya, sehingga nama file induk virus Osiris menjadi: %temp%/shtefans2.spe (sudah didekripsi)
Ukuran file: 176 KB (180.224 bytes)

osirisdecriptself

Parameter untuk menjalankan Osiris: rundll32.exe C:\Users\%user%\AppData\Local\Temp\shtefans2.spe,plan

3-osiris-lodka-shtefans2-spe

File yang menjadi Incaran Ransomware Osiris

Seperti variant pendahulunya, setiap direktori yang dia enkripsi filenya, dia letakkan file ‘help’:

OSIRIS.htm
OSIRIS.bmp
_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Dan daftar file yang menjadi incaran untuk dijadikan sanderanya adalah:

.yuv; .ycbcra; .xis; .wpd; .tex; .sxg; .stx; .srw; .srf; .sqlitedb; .sqlite3; .sqlite; .sdf; .sda; .s3db; .rwz; .rwl; .rdb; .rat; .raf; .qby; .qbx; .qbw; .qbr; .qba; .psafe3; .plc; .plus_muhd; .pdd; .oth; .orf; .odm; .odf; .nyf; .nxl; .nwb; .nrw; .nop; .nef; .ndd; .myd; .mrw; .moneywell; .mny; .mmw; .mfw; .mef; .mdc; .lua; .kpdx; .kdc; .kdbx; .jpe; .incpas; .iiq; .ibz; .ibank; .hbk; .gry; .grey; .gray; .fhd; .ffd; .exf; .erf; .erbsql; .eml; .dxg; .drf; .dng; .dgc; .des; .der; .ddrw; .ddoc; .dcs; .db_journal; .csl; .csh; .crw; .craw; .cib; .cdrw; .cdr6; .cdr5; .cdr4; .cdr3; .bpw; .bgt; .bdb; .bay; .bank; .backupdb; .backup; .back; .awg; .apj; .ait; .agdl; .ads; .adb; .acr; .ach; .accdt; .accdr; .accde; .vmxf; .vmsd; .vhdx; .vhd; .vbox; .stm; .rvt; .qcow; .qed; .pif; .pdb; .pab; .ost; .ogg; .nvram; .ndf; .m2ts; .log; .hpp; .hdd; .groups; .flvv; .edb; .dit; .dat; .cmt; .bin; .aiff; .xlk; .wad; .tlg; .say; .sas7bdat; .qbm; .qbb; .ptx; .pfx; .pef; .pat; .oil; .odc; .nsh; .nsg; .nsf; .nsd; .mos; .indd; .iif; .fpx; .fff; .fdb; .dtd; .design; .ddd; .dcr; .dac; .cdx; .cdf; .blend; .bkp; .adp; .act; .xlr; .xlam; .xla; .wps; .tga; .pspimage; .pct; .pcd; .fxg; .flac; .eps; .dxb; .drw; .dot; .cpi; .cls; .cdr; .arw; .aac; .thm; .srt; .save; .safe; .pwm; .pages; .obj; .mlb; .mbx; .lit; .laccdb; .kwm; .idx; .html; .flf; .dxf; .dwg; .dds; .csv; .css; .config; .cfg; .cer; .asx; .aspx; .aoi; .accdb; .7zip; .xls; .wab; .rtf; .prf; .ppt; .oab; .msg; .mapimail; .jnt; .doc; .dbx; .contact; .mid; .wma; .flv; .mkv; .mov; .avi; .asf; .mpeg; .vob; .mpg; .wmv; .fla; .swf; .wav; .qcow2; .vdi; .vmdk; .vmx; .wallet; .upk; .sav; .ltx; .litesql; .litemod; .lbf; .iwi; .forge; .das; .d3dbsp; .bsa; .bik; .asset; .apk; .gpg; .aes; .ARC; .PAQ; .tar.bz2; .tbk; .bak; .tar; .tgz; .rar; .zip; .djv; .djvu; .svg; .bmp; .png; .gif; .raw; .cgm; .jpeg; .jpg; .tif; .tiff; .NEF; .psd; .cmd; .bat; .class; .jar; .java; .asp; .brd; .sch; .dch; .dip; .vbs; .asm; .pas; .cpp; .php; .ldf; .mdf; .ibd; .MYI; .MYD; .frm; .odb; .dbf; .mdb; .sql; .SQLITEDB; .SQLITE3; .pst; .onetoc2; .asc; .lay6; .lay; .ms11 (Security copy); .sldm; .sldx; .ppsm; .ppsx; .ppam; .docb; .mml; .sxm; .otg; .odg; .uop; .potx; .potm; .pptx; .pptm; .std; .sxd; .pot; .pps; .sti; .sxi; .otp; .odp; .wks; .xltx; .xltm; .xlsx; .xlsm; .xlsb; .slk; .xlw; .xlt; .xlm; .xlc; .dif; .stc; .sxc; .ots; .ods; .hwp; .dotm; .dotx; .docm; .docx; .DOT; .max; .xml; .txt; .CSV; .uot; .RTF; .pdf; .XLS; .PPT; .stw; .sxw; .ott; .odt; .DOC; .pem; .csr; .crt; .key

Jika daftar file tersebut Anda miliki, dan Anda terkena Ransomware Osiris ini, katakan “Selamat jalan ke alam baka, file-file….

Antisipasi Ransomware

Smadav sudah melakukan antisipasi terhadap penyebaran virus ini (Ransomware), yakni dengan adanya fitur Disable Macro.

Namun jika Anda ingin mengaktifkan Macro, misalkan untuk mengolah data Nilai Siswa, Raport, atau pengolahan data lainnya menggunakan Excel, Anda masih tetap bisa mengaktifkannya dengan meng-Enable Macro menggunakan klik kanan Tray Icon Smadav, pilih opsi yang Anda perlukan.

Smadav akan terus memperbaiki pertahanan terhadap vuln Macro dan Windows Script, demi berjaga-jaga atas serangan variant-variant Ransomware terbaru.

Tak hanya Smadav, menurut analisa penulis, GMail sebagai penyedia jasa EMail pun telah memperketat pertukaran file, yakni memberi label SPAM pada file yang terlampir dengan Zip. Bahkan yang tadinya tidak bisa mendownload sample virus downloader/launcher Ransomware menggunakan mode Desktop, dan tetap bisa mendownload sample tersebut menggunakan mode mobile, sekarang kedua mode tersebut sudah tidak bisa lagi. Dan yang kena imbas, walaupun user hanya mengirim file biasa, bukan file virus, namun berupa file Excel dan dipaket menggunakan Zip, juga akan mengalami kesulitan menemukan filenya, lantaran masuk dalam label atau folder SPAM, bukan yang seharusnya di INBOX.

Silakan download Smadav hanya di situs web resmi Smadav: http://smadav.net/

 

 

21 Responses to “Osiris, varian Locky setelah Thor”


  1. Fidelis Madziwa says:

    Smadav is second to none

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Fri, 08:20 pm

    Azis: @ CEMEWEW, you can go to on http://www.konfirmasi.com/ fo asking to the Smadav Team.

    Azis: @Ransford Odumang, you can inform it to on Smadav email: Smadav@gmail.com.

    Ransford Odumang: I lost my licence key by formatting my pc , i want it back

    CEMEWEW: gan,, ane kna virus yg ngehidden file, tapi bukan virus shortcut, didalemnya ada folder 2 folder {2a40100f-de55-d1ca-1c90-ac00adec4c50} dan autorun.inf di dalem autorun.inf ada file protection for autorun, gimana tuh [...]

    Azis: @fajar, download lagi di http://www.smadav.net

    fajar: tolong mengapa komputer sayatidak bisa buat donwlod

    Azis: @evalyn kasivo, If you wanna get it, You go to on http://www.smadav.net/?lang=en to download it.

    evalyn kasivo: how can i get into this

    Bentshu maitele lincoln: GREAT

    Ricky: Sebagai catatan : Smadav adalah antivirus pelengkap.. dan sebagai antivirus pelengkap maka smadav sudah tergolong the best made in Indonesia free antivirus.. Saran saya gabungkan avast [...]

    » Tuliskan komentar Anda :