close


jadwal-sholat

Daftar ransomware indonesia yang telah beredar

     Jika anda menjadi korban ransomware dan data anda di sandera, mungkin rasanya seperti bertemu Terminator terhadap data anda. Hampir tidak ada orang di dunia ini yang bisa menolong mengembalikan data anda kecuali anda sudah mempersiapkan diri dengan backup secara teratur baik secara manual atau menggunakan backup otomatis seperti yang diberikan oleh G Data Total Protection. In order to win, Know Your Enemy, begitu kata Sun Tsu, karena itu rasanya penting jika para pembaca mengetahui apa saja ransomware yang sedang mengganas di Indonesia dan ciri-cirinya. 
     Dalam artikel di bawah ini, Vaksincom akan memberikan paparan tentang Ransomware yang ditemukan Vaksincom aktif di Indonesia dengan harapan para pengguna komputer bisa mengetahui cara kerja ransomware dan menghindari faktor infeksi ransomware tersebut.

1.   Cryptolocker

Ciri umum Cryptolocker:

Cryptolocker sebenarnya sudah tidak menyebar lagi karena servernya sudah teridentifikasi dan dihentikan oleh pihak berwajib, namun karena ia merupakan ransomware pertama yang sukses dan banyak ransomware yang mengikuti metode dan cara penyebaran cryptolocker, maka cryptolocker tetap perlu diberikan sebagai acuan informasi supaya pembaca berhati-hati terhadap aksi ransomware.
  • Cryptolocker akan menyebar melalui email dengan lampiran yang di kompres (RAR/ZIP), file tersebut berisi sebuah file (nama file acak) dengan ekstensi ganda (pdf.exe)
  • Cryptolocker akan menghapus file Shadow Volume Copies sehingga mempersulit saat user melkukan recovery file
  • Cryptolocker akan melakukan enkripsi file yang berada pada drive lokal pada komputer yang terinfeksi dan pada mapping drive (folder share dari komputer lain yang di mapping di komputer yang terinfeksi Cryptolocker). Setiap file yang di enkripsi tidak mengalami perubahan ekstensi.
File induk Cryptolocker
  • C:\Document and Settings\%users%\Local Settings\Application Data\%file acak%.exe
  • C:\Documents and Settings\%user%\Local Settings\Temp\%file acak%.exe
  • C:\Documents and Settings\%user%\Desktop\%file acak%.jpg
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Local\Temp\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
  • C:\Users\%user%\Desktop\%file acak%.jpg
Tebusan yang diminta :

  • $300 dengan menggunakan Bitcoin/MoneyPack

2.   CryptoDefense

Ciri umum CryptoDefense:
  • Menyebar dengan menggunakan email dengan menyertakan lampiran yang di kompresi (RAR/ZIP) dan memanfaatkan celah keamanan software (contoh: flash player)
  • CryptoDefense akan menghapus file Shadow Volume Copies sehingga mempersulit saat user akan recover file
  • CryptoDefense akan mengenkripsi file yang berada pada drive lokal pada komputer yang terinfeksi dan pada mapping drive. Setiap file yang di enkripsi akan menambahkan string !crypted! di awal isi file.
File CryptoDefense
  • C:\Documents and Settings\%User%\Local Settings\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe]
  • C:\Users\%user%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe]
Informasi cara untuk decrypt file

  • Help_Decrypt.txt & Help_Decrypt.html, Help_Decrypt.png, Help_Decrypt.txt

Tebusan :

  • USD 300 dan meningkat menjadi 1000 USD jika lebih dari 4 hari Menggunakan Bitcoin
3.  CryptoWall.

Ciri umum CryptoWall:
  • Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java remote | code execution vulnereability| abobe flash player] , emails, website (popup)
  • Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan merecovery 
file file CryptoWall:
  • C:\Documents and Settings\%User%\Local Settings\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Local\%file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
Informasi daftar file yang di enkripsi

  • HKCU\Software\<unique computer id>\<random id>
  • Contoh: HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF

Informasi cara decrypt file

  • Help_Decrypt.txt, Help_Decrypt.html, Help_Decrypt.png, Help_Decrypt.txt,
Tebusan :

  • USD 300 [ USD 1000 jika lebih dari 4 hari] dengan menggunakan Bitcoin
4.  CryptOrbit

Ciri umum CryptOrbit:
  • Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java remote | code execution vulneebility| abobe flash player] , website (popup)
  • Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan merecover file
  • CryptOrbit tidak akan meng-enkripsi file, tetapi akan merusak file dengan menghapus string pada header file sehingga terjadi perbedaan ukuran sebesar 512 kb dari file asli yang mengakibatkan file tidak dapat dibuka
File CryptOrbit
  • C:\Documents and Settings\%User%\Local Settings\Application Data\%file acak%.exe
  • C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\Temp\%.file acak%.exe
  • C:\Users\%user%\AppData\Roaming\%file acak%.exe
  • C:\Program Data\%file acak%.exe
Informasi cara decrypt file

  • HowDecrypt.txt, HowDecrypt.gif & HowDecrypt.ntm;
Tebusan :

  • $500 dengan menggunakan Bitcoin
5.  CointVault

Ciri umum CoinVault:
  • Menyebar dengan menggunakan email dengan menyertakan file yang di kompres (ZIP/RAR/Cab). File yang di kompres akan mempunyai ekstensi ganda (contoh: pdf.exe)
  • Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan recover file.
File CointVault
  • %AppData%\Microsoft\Windows\coinvault.exe
  • %AppData%\Microsoft\Windows\edone
  • %Temp%\wallpaper.jpg
Informasi daftar file yang di enkripsi
  • %Temp%\CoinVaultFileList.txt
  • %AppData%\Microsoft\Windows\filelist.txt
Tebusan :
  • $300 dengan Bitcoin
6.  PCLocker CryptoLocker

Ciri umum PCLocker Cryptolocker
  • Menyebar melalui internet dan memanfaatkan celah keamanan aplikasi
  • Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan merecovery 
fileFile PCLocker Cryptolocker
  • %AppData%\WinCL\WinCL.exe
  • %AppData%\WinCL\winclwp.jpg
  • %AppData%\WinCL\temp.vbs
  • %UserProfile%\last_change.txt
  • %UserProfile%\winclwp.jpgDaftar file yang di enkripsi
  • %UserProfile%\enc_files.txt 
Tebusan :
  • $300 dengan menggunakan Bitcoin

7.  CTB-Locker

Ciri umum CTB-Locker:
  • Menyebar melalui email dengan menyertakan sebuah lampiran yang di kompresi (contoh : ZIP/RAR). Lampiran tersebut berisi sebuah file dengan ekstensi .SCR dengan nama file acak.
  • Menghapus file Shadow Volume Copies sehingga mempersulit user pada saat akan merecovery file yang sudah di enkripsi.
  • Menambahkan ekstensi acak (sebanyak 7 karakter) pada file yang sudah di enkripsi.
File CTB-Locker
  • C:\Document and Settings\%users%\Local Settings\Temp\%file acak%.exe
  • C:\Users\%Users%\AppData\Local\ Temp\%file acak%.exe]
  • C:\Windows\Tasks\%file acak%.job
Informasi cara untuk decrypt file
  • C:\Users\%user%\Documents\Decrypt All Files %acak%.txt dan !Decrypt-All-Files-%acak%.bmp) . Contoh “C:\Users\%user%\Documents\Decrypt All Files cllpldb.txt” dan “!Decrypt-All-Files-dbwnria.bmp”
  • C:\!Decrypt All Files cllpldb.txt dan !Decrypt-All-Files-%acak%.bmp. Contoh “C:\!Decrypt All Files cllpldb.txt dan !Decrypt-All-Files-dbwnria.bmp”Informasi daftar file yang di enkripsi
  • C:\Documents and Settings\All Users\Application Data\%file%.html
  • C:\Users\%Users%\AppData\Local\ %file%.html
Tebusan :
  • $669 dengan menggunakan Bitcoin
8.  TeslaCrypt

Ciri umum TeslaCrypt:
  • Menambahkan ekstensi .ecc dan .exx pada setiap file yang di enkripsi
  • Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery data
File & Registry:
  • %AppData%\<random>.exe
  • %AppData%\key.dat
  • %AppData%\log.html
  • %Desktop%\CryptoLocker.lnk
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • crypto13 = %AppData%\<random>.exe
Informasi cara dekripsi file
  • HELP_TO_DECRYPT_YOUR_FILES.bmp
  • HELP_TO_DECRYPT_YOUR_FILES.txt
  • HELP_RESTORE_FILES.bmp
Tebusan :
  • $300-$500 dengan menggunakan Bitcoin
9.  CointLocker
Ciri umum CoinLocker:
  • Menyebar dengan menggunakan email (ZIP/RAR/Cab, ekstensi ganda (pdf.exe) , website
  • Menambahkan ekstensi tambahan *.encrypted pada setiap file yang di enkripsi
  • Membuat file Coin.Locker.txt di setiap folder (file yang di enkripsi)
  • Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery 
dataTebusan :
  • $100 dengan menggunakan Bitcoin

10.  Locker V.x.xx (x.xx adalah varian dari ransomware Locker, contoh : Locker v1.7, Locker V2.16, Locker V.3.5.3, Locker V.5.5.2)
Ciri umum Locker:
  • Menyebar dengan menggunakan email (ZIP/RAR/Cab) dan internet dengan memanfaatkan celah keamanan aplikasi
  • Menghapus file Shadow Volume Copies, sehingga mempersulit untuk recovery data
  • Mematikan proses aplikasi VirtualBox/VmWare
File Locker
  • %AppData%
  • %LocalAppData%
  • %ProgramData%
  • C:\Windows\Systm32 atau C:\Windows\Syswow64\%file acak%.exe
  • C:\ProgramData\Steg\steg.exe
  • C:\ProgramData\Tor
  • C:\ProgramData\rkcl
  •   data.aa0 – Berisi file yang di enkripsi
  •   data.aa1 – Tidak diketahui
  •   data.aa6 – Alamat bitcoin
  •   data.aa7 – RSA key
<RSAKeyValue><Modulus>rhMUIZAtCWDQeIIu01AQy813u41pOSTRDn9+6FpsEHwWfoIrcLgBd2oqqgeT2jFRQY3/4hvsd+uWTUOG9FPBtbx3yMI9ch6/+5dU8H4mZTFakCiab5nXvYNzqQ/lIB2OwOr6i8dkjyEr94LHUUg4i4XyFRjjjoWmUwW6ND0Hbt3knN6/QiSafkvv7WTlM2aIQbxi349t79QFcr9nu3tS9eda6s+saUI34jFuQf2xob1YG2UXOMntBDgkuaso+JXrWhi1ze4ic7Ec1731IQy7rfXMcxpxWFb7rIyZukBN5aoQrY+9rTpyC4Df+phJz/osBS0kSBm+ivadETT/nKQAYQ==</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
  • data.aa8 – Versi Ransomware Locker
  • data.aa9 – Tanggal Ransomware Locker menginfeksi komputer
  • data.aa11 - Tidak diketahui
  • data.aa12 - Tidak diketahui
  • priv.key – Berisi key file untuk decrypt file. Key ini hanya akan ada pada saat anda melakukan pembayaran tebusan
  • ldr.exe, rckl.exe
Tebusan :
  • $25 dengan menggunakan Bitcoin

Komentar

Posting Komentar

Postingan populer dari blog ini

Yuma Soerianto, Developer Aplikasi Termuda

Gambar
Yuma Soerianto, Developer Aplikasi Termuda Bocah yang mendapatkan pujian dari bos APPLE Yuma Soerianto, bocah 10 tahun melakukan perjalanan dari Melbourne, Australia menuju ke Amerika Serikat (AS) dengan memboyong aplikasi buatannya sendiri ke hadapan Tim Cook, CEO Apple. Rupanya, Cook terkagum karena siswa kelas 5 SD di Middle Park Primary School di Melbourne, Australia itu berhasil membuat aplikasi yang dipublikasikan di App Store. Di ajang WWDC (Worldwide Developers Conference), siswa yang duduk di bangku sekolah Middle Park Primary School, yang terletak di Melbourne, Australia ini pun didapuk menjadi developer aplikasi termuda. Selasa (6/6/2017), keberhasilan Yuma itu membuatnya menjadi pengembang aplikasi termuda yang diundang ke Worldwide Developer Converence (WWDC) di San Jose, Amerika Serikat. Dalam sebuah kesempatan, Yuma pun bertemu dengan Cook untuk menyampaikan gagasannya. Yuma sendiri belajar coding sejak umur 6 tahun. Waktu itu ia berpikir kalau pelajaran di se...
Baca selengkapnya

10 Virus Komputer yang berbasis RANSOMWARE Paling Berbahaya

Virus tak hanya menyerang manusia, tapi juga perangkat elektronik, khususnya komputer.Untuk ini kita mengenal istilah virus komputer. Dilansir dari CRN, setidaknya ada 10 virus komputer paling berbahaya sepanjang sejarah umat manusia. 1. CIH (1998) Perkiraan kerusakan: 20 sampai 80 juta dolar di seluruh dunia, jumlah data PC yang rusak, jumlahnya tak terhitung karena saking banyaknya. Dilepaskan di Taiwan pada 1998, virus diakui sebagai salah satu virus paling berbahaya dan merusak yang pernah ada. Virus ini menginveksi file executable pada Windows 95, Windows 98, dan ME. Di PC ia akan menginveksi file executable lainnya.Yang membuat CIH begitu berbahaya adalah, segera setelah diaktifkan, virus ini akan menimpa data pada hard drive PC, membuatnya tak bisa dioperasikan.Virus ini juga menimpa BIOS dan mencegah boot-up. Selain itu, virus ini mudah menyebar melalui perangkat lunak. CIH juga dikenal sebagai virus Chernobyl karena tanggal pemicu tegangannya sama dengan tanggal kecelakaan rea...
Baca selengkapnya