Osiris, varian Locky setelah Thor

Posted in internet, Virus Asing on Dec 20, 2016

osiris

Setelah pada bulan Oktober 2016 lalu Locky Ransomware menggunakan nama dewa-dewa dalam setiap rilis versi atau variant-nya, dan sempat tidak menggunakan codename dewa-dewa, yakni Ransomware Shit, kini Desember 2016 Ransomware Locky kembali lagi dengan codename dewa-dewa, yakni Dewa Alam Baka atau Osiris.

Teknik Penyebaran

Masih menggunakan teknik yang sama dengan variant Ransomware pendahulunya, penyebaran via EMail adalah teknik yang digunakan oleh Ransomware Osiris ini. Caranya ialah dengan melampirkan file, bisa berupa JS (javascript) atau XLS (Excel), yang terpaket kedalam Zip. Jika file didalam Zip tersebut dijalankan, maka file downloader+launcher Ransomware Osiris ini akan mencoba untuk segera mendownload induknya pada 3 server yang telah disediakan.

osirisattack

Aksi Virus

Setelah selesai mendownload induk virus, file induk virus Osiris disimpan pada: %temp%/lodka
Ukuran file: 176 KB (180.224 bytes)
File tersebut tidak bisa dijalankan begitu saja, karena merupakan file DLL yang terenkripsi, untuk itu pada file downloader+launcher juga terdapat dekriptornya, sehingga nama file induk virus Osiris menjadi: %temp%/shtefans2.spe (sudah didekripsi)
Ukuran file: 176 KB (180.224 bytes)

osirisdecriptself

Parameter untuk menjalankan Osiris: rundll32.exe C:\Users\%user%\AppData\Local\Temp\shtefans2.spe,plan

3-osiris-lodka-shtefans2-spe

File yang menjadi Incaran Ransomware Osiris

Seperti variant pendahulunya, setiap direktori yang dia enkripsi filenya, dia letakkan file ‘help’:

OSIRIS.htm
OSIRIS.bmp
_HELP_instructions.html
_HELP_instructions.bmp
_HELP_instructions.txt
_Locky_recover_instructions.bmp
_Locky_recover_instructions.txt

Dan daftar file yang menjadi incaran untuk dijadikan sanderanya adalah:

.yuv; .ycbcra; .xis; .wpd; .tex; .sxg; .stx; .srw; .srf; .sqlitedb; .sqlite3; .sqlite; .sdf; .sda; .s3db; .rwz; .rwl; .rdb; .rat; .raf; .qby; .qbx; .qbw; .qbr; .qba; .psafe3; .plc; .plus_muhd; .pdd; .oth; .orf; .odm; .odf; .nyf; .nxl; .nwb; .nrw; .nop; .nef; .ndd; .myd; .mrw; .moneywell; .mny; .mmw; .mfw; .mef; .mdc; .lua; .kpdx; .kdc; .kdbx; .jpe; .incpas; .iiq; .ibz; .ibank; .hbk; .gry; .grey; .gray; .fhd; .ffd; .exf; .erf; .erbsql; .eml; .dxg; .drf; .dng; .dgc; .des; .der; .ddrw; .ddoc; .dcs; .db_journal; .csl; .csh; .crw; .craw; .cib; .cdrw; .cdr6; .cdr5; .cdr4; .cdr3; .bpw; .bgt; .bdb; .bay; .bank; .backupdb; .backup; .back; .awg; .apj; .ait; .agdl; .ads; .adb; .acr; .ach; .accdt; .accdr; .accde; .vmxf; .vmsd; .vhdx; .vhd; .vbox; .stm; .rvt; .qcow; .qed; .pif; .pdb; .pab; .ost; .ogg; .nvram; .ndf; .m2ts; .log; .hpp; .hdd; .groups; .flvv; .edb; .dit; .dat; .cmt; .bin; .aiff; .xlk; .wad; .tlg; .say; .sas7bdat; .qbm; .qbb; .ptx; .pfx; .pef; .pat; .oil; .odc; .nsh; .nsg; .nsf; .nsd; .mos; .indd; .iif; .fpx; .fff; .fdb; .dtd; .design; .ddd; .dcr; .dac; .cdx; .cdf; .blend; .bkp; .adp; .act; .xlr; .xlam; .xla; .wps; .tga; .pspimage; .pct; .pcd; .fxg; .flac; .eps; .dxb; .drw; .dot; .cpi; .cls; .cdr; .arw; .aac; .thm; .srt; .save; .safe; .pwm; .pages; .obj; .mlb; .mbx; .lit; .laccdb; .kwm; .idx; .html; .flf; .dxf; .dwg; .dds; .csv; .css; .config; .cfg; .cer; .asx; .aspx; .aoi; .accdb; .7zip; .xls; .wab; .rtf; .prf; .ppt; .oab; .msg; .mapimail; .jnt; .doc; .dbx; .contact; .mid; .wma; .flv; .mkv; .mov; .avi; .asf; .mpeg; .vob; .mpg; .wmv; .fla; .swf; .wav; .qcow2; .vdi; .vmdk; .vmx; .wallet; .upk; .sav; .ltx; .litesql; .litemod; .lbf; .iwi; .forge; .das; .d3dbsp; .bsa; .bik; .asset; .apk; .gpg; .aes; .ARC; .PAQ; .tar.bz2; .tbk; .bak; .tar; .tgz; .rar; .zip; .djv; .djvu; .svg; .bmp; .png; .gif; .raw; .cgm; .jpeg; .jpg; .tif; .tiff; .NEF; .psd; .cmd; .bat; .class; .jar; .java; .asp; .brd; .sch; .dch; .dip; .vbs; .asm; .pas; .cpp; .php; .ldf; .mdf; .ibd; .MYI; .MYD; .frm; .odb; .dbf; .mdb; .sql; .SQLITEDB; .SQLITE3; .pst; .onetoc2; .asc; .lay6; .lay; .ms11 (Security copy); .sldm; .sldx; .ppsm; .ppsx; .ppam; .docb; .mml; .sxm; .otg; .odg; .uop; .potx; .potm; .pptx; .pptm; .std; .sxd; .pot; .pps; .sti; .sxi; .otp; .odp; .wks; .xltx; .xltm; .xlsx; .xlsm; .xlsb; .slk; .xlw; .xlt; .xlm; .xlc; .dif; .stc; .sxc; .ots; .ods; .hwp; .dotm; .dotx; .docm; .docx; .DOT; .max; .xml; .txt; .CSV; .uot; .RTF; .pdf; .XLS; .PPT; .stw; .sxw; .ott; .odt; .DOC; .pem; .csr; .crt; .key

Jika daftar file tersebut Anda miliki, dan Anda terkena Ransomware Osiris ini, katakan “Selamat jalan ke alam baka, file-file….

Antisipasi Ransomware

Smadav sudah melakukan antisipasi terhadap penyebaran virus ini (Ransomware), yakni dengan adanya fitur Disable Macro.

Namun jika Anda ingin mengaktifkan Macro, misalkan untuk mengolah data Nilai Siswa, Raport, atau pengolahan data lainnya menggunakan Excel, Anda masih tetap bisa mengaktifkannya dengan meng-Enable Macro menggunakan klik kanan Tray Icon Smadav, pilih opsi yang Anda perlukan.

Smadav akan terus memperbaiki pertahanan terhadap vuln Macro dan Windows Script, demi berjaga-jaga atas serangan variant-variant Ransomware terbaru.

Tak hanya Smadav, menurut analisa penulis, GMail sebagai penyedia jasa EMail pun telah memperketat pertukaran file, yakni memberi label SPAM pada file yang terlampir dengan Zip. Bahkan yang tadinya tidak bisa mendownload sample virus downloader/launcher Ransomware menggunakan mode Desktop, dan tetap bisa mendownload sample tersebut menggunakan mode mobile, sekarang kedua mode tersebut sudah tidak bisa lagi. Dan yang kena imbas, walaupun user hanya mengirim file biasa, bukan file virus, namun berupa file Excel dan dipaket menggunakan Zip, juga akan mengalami kesulitan menemukan filenya, lantaran masuk dalam label atau folder SPAM, bukan yang seharusnya di INBOX.

Silakan download Smadav hanya di situs web resmi Smadav: http://smadav.net/

 

 

23 Responses to “Osiris, varian Locky setelah Thor”


  1. dugah bright says:

    Good work

     
  2. Mahdi says:

    Nice. Thanks for this article.

     
  3. Anonymous says:

    it is very good i need to update

     
  4. Fidelis Madziwa says:

    Smadav is second to none

     
  5. Anonymous says:

    nice

     
  6. juanda says:

    apakah smadav bisa mencegah virus virus tersebut?

     
    • RyanBeKaBe says:

      Smadav mencegah virus Ransomware ini dengan menonaktifkan fungsi Macro di Microsoft Office (Word, Excel).

       
  7. kaizer says:

    thanks

     
  8. sarip saripin says:

    untuk ditindaklanjuti dan diperbaharui program program kami agar tetap terjaga keamanan dokumennya
    terima kasih

     
  9. Nedi Arwandi says:

    Untung ada Smadav, osiris pun tak bisa bebas berkelana, maju terus Smadav

     
  10. merci de me rendre ce service

     
  11. charles kabuya says:

    smadav is cool antivirus

     
  12. bouda says:

    besoin de l’anti virus smadav

     
  13. Al-Khawarizmii says:

    waduhh… selama ini selalu pake aplikasi 7zip untuk membungkus data, yg pasti hasil bungkusnya selalu dalam format zip biar bisa dibuka di semua pc. -_-

     
  14. santosh more says:

    i like

     
  15. dojenuwah says:

    Kill all virus coming to destroy my computer

     
  16. dojenuwah says:

    Always protect my computer from virus attack

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Thu, 08:45 pm

    Azis: @Barthelemy Klabe, Link for downloading http://www.smadav.net/?lang=en

    Barthelemy Klabe: j'ai besoin de SMADAV anti virus gratuit comme essai et je payerai plus tard

    Azis: @marvin, to update Smadav, you can redownload it on the http://www.smadav.net/?lang=en .

    marvin: how to update my smadav?????

    oulare ibrahima sory: ok

    oulare ibrahima sory: satisfaction

    oulare ibrahima sory: repond a ma satifaction

    sugiarto: Kami sangat bersyukur dengan smadav terbaru ini karena sangat membantu kami khususnya masyarakat kecil terimakasih smadav semoga tetap jaya dan mendapatkan ridho alloh atas segala [...]

    fortambia philip atabe: i love this smadav setup

    anwar: smadav rev 11.5 bermasalah sama avira bos please fix !!! 1. Smadav-Updater.exe kedetect trojan TR/Dropper.Gen [trojan] sama avira 2. system tray kalau di klik gak nampil [...]

    » Tuliskan komentar Anda :