CryptoLocker (Trojan.GenericKD.1492946) 1/3
Jika di dunia nyata kado awal tahun adalah hujan dan banjir air, maka di dunia maya selain Flappy Bird yang ngetop juga diramaikan dengan adalah munculnya virus CryptoLocker (Trojan.GenericKD.1492946) dengan mengenkripsi setiap data yang di jumpai baik yang berada di komputer lokal maupun yang berada di folder/drive yang di mapping (dengan akses Full control). Oleh karena itu sebelum terjadi hal yang tidak di inginkan sebaiknya kita waspada dengan melakukan pencegahan terhadap kemungkinan tersebut. Seperti apa bentuk pencegannya?? Silahkan anda baca artikel ini sampai selesai J.
Sebagai informasi, Virus CryptoLocker sebenarnya sudah muncul sejak bulan September 2013 pertama kali muncul di Ukraina dan dari pantauan Vaksincom Cryptolocker sudah menjadi Clear and Present Danger alias ancaman jelas dan nyata bagi pengguna komputer di Indonesia.
Jika Arjuna memiliki senjata pamungkas Pasopati yang hanya bisa digunakan satu kali saja untuk mengalahkan Karna, maka Cryptolocker memiliki senjata pamungkas yang tidak kalah sakti dan bisa digunakan berkali-kali untuk mengenkripsi data komputer korbannya. Senata tersebut adalah enkripsi RSA 2048 bit.
Cryptolocker biasanya akan datang melalui email dalam bentuk lampiran yang terkompresi (ZIP/RAR) di mana di dalam file yang terkompresi berisi sebuah file dengan nama acak dan mempunyai ekstensi ganda, ia akan memanfaatkan icon PDF dengan ekstensi PDF.EXE.
Secara default ekstensi file akan di sembunyikan oleh Windows, hal inilah yang di manfaatkan oleh virus untuk mengelabui user sehingga file yang terlihat seolah-olah sebuah file PDF. (lihat gambar 1)
Sebagai informasi, Virus CryptoLocker sebenarnya sudah muncul sejak bulan September 2013 pertama kali muncul di Ukraina dan dari pantauan Vaksincom Cryptolocker sudah menjadi Clear and Present Danger alias ancaman jelas dan nyata bagi pengguna komputer di Indonesia.
Jika Arjuna memiliki senjata pamungkas Pasopati yang hanya bisa digunakan satu kali saja untuk mengalahkan Karna, maka Cryptolocker memiliki senjata pamungkas yang tidak kalah sakti dan bisa digunakan berkali-kali untuk mengenkripsi data komputer korbannya. Senata tersebut adalah enkripsi RSA 2048 bit.
Cryptolocker biasanya akan datang melalui email dalam bentuk lampiran yang terkompresi (ZIP/RAR) di mana di dalam file yang terkompresi berisi sebuah file dengan nama acak dan mempunyai ekstensi ganda, ia akan memanfaatkan icon PDF dengan ekstensi PDF.EXE.
Secara default ekstensi file akan di sembunyikan oleh Windows, hal inilah yang di manfaatkan oleh virus untuk mengelabui user sehingga file yang terlihat seolah-olah sebuah file PDF. (lihat gambar 1)
Gambar 1, Setting default Windows untuk menyembunyikan ekstensi file
Gambar 2, Email yang di kirimkan oleh virus CryptoLocker
Gambar 3, Contoh file lampiran CryptoLocker yang di kirim melalui email
File lampiran email tersebut akan mempunyai ciri-ciri:
- Nama file acak
- Mempunyai ekstensi ganda (PDF.EXE)
- Menggunakan icon PDF
- Ukuran file 100 KB (sesudah di extract) atau 70 KB (sebelum di extract)
Bagi para pelanggan Vaksincom, dengan update terbaru G Data sudah dapat mendeteksi virus ini dengan baik dengan namaTrojan.GenericKD.1492946 (lihat gambar4).
Gambar 4, Antivirus G Data mendeteksi virus CryptoLocker
File induk Cryptolocker
Jika berhasil menginfeksi komputer, ia akan membuat file induk dengan nama acak (contohnya: Mrrmkokislmfndtxl.exe ) yang akan di simpan di direktori berikut dengan ukuran file sebesar 751 KB
Jika berhasil menginfeksi komputer, ia akan membuat file induk dengan nama acak (contohnya: Mrrmkokislmfndtxl.exe ) yang akan di simpan di direktori berikut dengan ukuran file sebesar 751 KB
- Windows XP [C:\Document and Settings\%users%\Local Settings\Application Data\]
- Windows Vista/7/8 [C:\Users\%Users%\AppData\Local\]
Catatan: %Users% ini adalah user account yang di gunakan untuk login Windows
Gambar 5, File induk virus Cryptolocker (Trojan.GenericKD.1492946)
Registri Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di nyalakan, ia akan membuat string pada registri berikut:
Catatan: %Users% ini adalah user account yang di gunakan untuk login Windows
Untuk mempertahan kan eksistensinya, ia akan membuat string pada registry berikut agar dapat tetap aktif walaupun komputer booting pada mode safe mode
Download virus lain (ZBot/Dropped:Trojan.Agent.ZDFA)
Jika komputer yang terinfeksi komputer terkoneksi internet, ia akan mengunduh virus lain dengan nama file acak yang akan di simpan ke dalam direktori yang sudah ditentukan dengan ukuran sebesar 101 Kb atau 54 KB.
Salah satu file tersebut akan di jalankan pada saat komputer di nyalakan dengan merubah registri berikut:
G Data mendeteksi file tersebut sebagai virus Trojan.Agent.ZDFA (lihat gambar 6)
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di nyalakan, ia akan membuat string pada registri berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
- HKEY_USERS\S-1-5-21-1715567821-839522115-1836129859-1003\Software\Microsoft\Windows\CurrentVersion\RunOnce
- CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
- HKEY_USERS\S-1-5-21-1715567821-839522115-1836129859-1003\Software\Microsoft\Windows\CurrentVersion\Run
- CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
Untuk mempertahan kan eksistensinya, ia akan membuat string pada registry berikut agar dapat tetap aktif walaupun komputer booting pada mode safe mode
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- CryptoLocker = "C:\Documents and Settings\%User%\Local Settings\Application Data\Mrrmkokislmfndtxl.exe"
Jika komputer yang terinfeksi komputer terkoneksi internet, ia akan mengunduh virus lain dengan nama file acak yang akan di simpan ke dalam direktori yang sudah ditentukan dengan ukuran sebesar 101 Kb atau 54 KB.
- Windows XP
- C:\Documents and Settings\%User%\Local Settings\Temp\gjbjojht.exe
- Windows Vista/7/8
- C:\Users\%user%\AppData\Local\Temp\ gjbjojht.exe
- C:\Users\%user%\AppData\Roaming\ gjbjojht.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {E6E9026C-829A-2A1A-C44C-A9B0AB341007} =
C:\DOCUME~1\%User%\LOCALS~1\Temp\gjbjojht.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {E6E9026C-829A-2A1A-C44C-A9B0AB341007} = C:\DOCUME~1\%User%\LOCALS~1\Temp\gjbjojht.exe
Gambar 6, G Data mendeteksi file yang di unduh oleh CryptoLocker sebagai Trojan.Agent.ZDFA
Eknripsi file
Aksi yang dilakukan oleh CriptloLocker adalah mengenkripsi file yang ada di komputer lokal (komputer yang sudah terinfeksi) dengan ekstensi yang sudah ditentukan dengan menggunakan RSA-2048.
Selain enkripsi file yang berada di komputer yang sudah terinfeksi, CryptoLocker juga akan mengenkripsi file pada Drive/Folder yang di mapping yang mempunyai akses full control. Menurut pengetesan Laboratorium virus Vaksincom, Cryptolocker hanya mengenkripsi semua fullsharing yang dimapping dan tidak mengenkripsi Drive/Folder/File yang di share tetapi tidak di mapping. (lihat gambar 7)
Aksi yang dilakukan oleh CriptloLocker adalah mengenkripsi file yang ada di komputer lokal (komputer yang sudah terinfeksi) dengan ekstensi yang sudah ditentukan dengan menggunakan RSA-2048.
Selain enkripsi file yang berada di komputer yang sudah terinfeksi, CryptoLocker juga akan mengenkripsi file pada Drive/Folder yang di mapping yang mempunyai akses full control. Menurut pengetesan Laboratorium virus Vaksincom, Cryptolocker hanya mengenkripsi semua fullsharing yang dimapping dan tidak mengenkripsi Drive/Folder/File yang di share tetapi tidak di mapping. (lihat gambar 7)
Gambar 7, Contoh Folder / Drive yang di mapping
Berikut beberapa ekstensi file yang akan di enkrip oleh CryptoLocker
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.indd, *.cdr, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Jika data anda sudah dienkrip oleh Cryptolocker, maka anda tidak akan bisa membuka data tersebut danhanya akan mendapatkan data yang sudah di enkrip oleh Cryptolocker. (lihat gambar 8 dan gambar 9).
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.indd, *.cdr, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Jika data anda sudah dienkrip oleh Cryptolocker, maka anda tidak akan bisa membuka data tersebut danhanya akan mendapatkan data yang sudah di enkrip oleh Cryptolocker. (lihat gambar 8 dan gambar 9).
Gambar 8, Pesan error saat membuka file yang sudah di enkrip
Gambar 9, File yang sudah di enkrip oleh CryptoLocker
Membayar Tebusan
Setiap kali CryptoLocker berhasil menjalankan aksinya mengenkripsi semua data komputer korbannya, ia akan memunculkan pesan “Your Personal files are Encrypted” (lihat gambar10) secara terus menerus. Hal ini secara tidak langsung menyebabkan komputer yang terinfeksi menjadi lambat.
Data yang dienkrip tidak dapat didekrip ?
Kabar buruknya, karena bagusnya pengamanan enkripsi RSA 2048 yang digunakan sebagai standar enkripsi https oleh penyedia jasa internet dunia seperti Google, Facebook dan Yahoo. Hampir mustahil untuk mendekrip file yang dienkrip tanpa private key yang digunakan untuk enkripsi data. Dan private key untuk dekrip file tersebut hanya di miliki oleh si pembuat virus, Anda hanya diberikan waktu selama 72 jam atau 3 hari sejak komputer pesan permintaan tebusan ditampilkan untuk menghubungi si mpunya virus guna mendapatkan kembali data anda. Namun Private Key tidak akan diberikan secara gratis, tetapi anda harus membayar US $ 300 yang dapat di kirim melalui MoneyPak atau Bitcoin. Jika melewati batas waktu yang telah ditentukan maka Private Key tersebut akan dihapus dan secara teknis data anda akan hilang selamanya. (lihat gambar 10).
Setiap kali CryptoLocker berhasil menjalankan aksinya mengenkripsi semua data komputer korbannya, ia akan memunculkan pesan “Your Personal files are Encrypted” (lihat gambar10) secara terus menerus. Hal ini secara tidak langsung menyebabkan komputer yang terinfeksi menjadi lambat.
Data yang dienkrip tidak dapat didekrip ?
Kabar buruknya, karena bagusnya pengamanan enkripsi RSA 2048 yang digunakan sebagai standar enkripsi https oleh penyedia jasa internet dunia seperti Google, Facebook dan Yahoo. Hampir mustahil untuk mendekrip file yang dienkrip tanpa private key yang digunakan untuk enkripsi data. Dan private key untuk dekrip file tersebut hanya di miliki oleh si pembuat virus, Anda hanya diberikan waktu selama 72 jam atau 3 hari sejak komputer pesan permintaan tebusan ditampilkan untuk menghubungi si mpunya virus guna mendapatkan kembali data anda. Namun Private Key tidak akan diberikan secara gratis, tetapi anda harus membayar US $ 300 yang dapat di kirim melalui MoneyPak atau Bitcoin. Jika melewati batas waktu yang telah ditentukan maka Private Key tersebut akan dihapus dan secara teknis data anda akan hilang selamanya. (lihat gambar 10).
Gambar 10, Informasi yang akan di tampilkan oleh CryptoLocker
Berikut beberapa contoh metode pembayaran yang di tawarkan oleh CryptoLocker
Gambar 11, Metode pembayaran dengan menggunakan MoneyPak
Gambar 12, Metode pembayaran dengan menggunakan bitcoin
Daftar file yang akan sudah dienkrip oleh CryptoLocker akan di simpan kedalam registri berikut: (lihat gambar 13)
- HKEY_CURRENT_USER\Software\CryptoLocker_0388 (nama key acak)
- PublicKey (key untuk encrypt file)
- VersionInfo (informasi server CryptoLocker)
- Wallpaper
- HKEY_CURRENT_USER\Software\CryptoLocker_0388 (nama key acak)
- Files (berisi file yang sudah di encrypt)
Gambar13, Daftar file yang sudah di enkrip oleh CryptoLocker
Mengganti Walpaper Windows
Untuk memastikan korbannya menyadari bahwa datanya dienkrip. CryptoLocker juga akan menampilkan pesan lain dengan cara mengganti Wallpaper Windows dengan file wallpaper yang di simpan di direktori berikut dengan nama file acak [contoh: C:\Documents and Settings\adang\Desktop\Mrrmkokislmfndtxl.jpg]. (lihat gambar 14).
Untuk memastikan korbannya menyadari bahwa datanya dienkrip. CryptoLocker juga akan menampilkan pesan lain dengan cara mengganti Wallpaper Windows dengan file wallpaper yang di simpan di direktori berikut dengan nama file acak [contoh: C:\Documents and Settings\adang\Desktop\Mrrmkokislmfndtxl.jpg]. (lihat gambar 14).
Gambar 14, Pesan yang akan di tampilkan CryptoLocker pada background desktop komputer
Cara manual pembersihan virus CryptoLocker (Trojan.GenericKD.1492946)
http://www.nirsoft.net/utils/cprocess.html
- Putuskan hubungan komputer yang akan di bersihkan dari jaringan/internet
- Matikan proses virus yang aktif di memori. Sebagai informasi, virus Cryptolocker akan mengatifkan 2 (dua) proses di memori dengan nama yang sama atau mempunyai Description atau Product Name WrittenMotion. Matikan ke dua proses tersebut secara bersamaan agar virus tidak aktif kembali (Catatan: Nama file yang akan di aktifkan berbeda-beda untuk setiap komputer yang terinfeksi). (lihat gambar 15)
http://www.nirsoft.net/utils/cprocess.html
Gambar 15, Mematikan proses virus cryptoLocker (Trojan.GenericKD.1492946)
- Fix Registri Windows yang sudah di ubah oleh CryptoLocker. Untuk mempercepat proses penghapusan, silahkan copy script di bawah ini pada program NOTEPAD kemudian simpan dengan nama sembarang (contoh: REPAIR.INF). pada saat anda akan menyimpan file tersebut pastikan pada kolom save as type di pilih All Files (*.*). (lihat gambar 16)
Gambar 16, Menyimpan file Repair.inf
Berikut Script yang harus di copy
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2014
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, *CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, {E6E9026C-829A-2A1A-C44C-A9B0AB341007}
File virus CryptoLocker secara default akan disembunyikan, oleh karena itu sebelum menghapus file tersebut, sebaiknya anda tampilkan terlebih dahulu file yang tersembunyi dengan cara:
A. Windows XP
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2014
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, *CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, {E6E9026C-829A-2A1A-C44C-A9B0AB341007}
- Hapus file induk virus yang berada di lokasi :
- Untuk Windows XP
[C:\Document and Settings\%user%\Local Settings\Application Data\]
- Untuk Windows Vista/7/8
[C:\Users\%user% \AppData\Local\] atau [C:\Users\%user% \AppData\Roaming\]
File virus CryptoLocker secara default akan disembunyikan, oleh karena itu sebelum menghapus file tersebut, sebaiknya anda tampilkan terlebih dahulu file yang tersembunyi dengan cara:
A. Windows XP
- Buka aplikasi Windows Explorer
- Klik menu [Tools]
- Klik [Folder Options]
- Kemudian akan muncul layar Folder Options
- Klik tabulasi [View]
- Kemudian pada kolom Advanced, pilih opsi Show hidden files and folders dan hilangkan tanda centang pada opsi Hide protected operating system files (Recommended) dan Hide extension for known file types (lihat gambar 17)
Gambar 17, Tab [View] Windows XP
- Kemudian klik tombol [Apply]
- Klik tombol [OK]
B. Windows 7
- Buka aplikasi Windows Explorer
- Klik menu [Organize]
- Klik [Folder and Search Options]
- Kemudian akan muncul layar Folder Options
- Klik tabulasi [View]
- Kemudian pada kolom Advanced, pilih opsi Show hidden files and folders dan hilangkan tanda centang pada opsi Hide protected operating system files (Recommended) dan Hide extension for known file types (lihat gambar 18)
Gambar 18, Tab [View] Windows Vista/7/8
- Kemudian klik tombol [Apply]
- Klik tombol [OK]
- Sebaiknya hapus file Temporary yang berada di lokasi (C:\Documents and Settings\%user%\Local Settings\Application Data\Temp) atau C:\Users\%user%\AppData\Local\Temp), dikarenakan CryptoLocker (Trojan.GenericKD.1492946) akan mendownload virus lain yang akan di simpan di folder temporary tersebut
- Scan full HDD dengan menggunakan antivirus yang up-to-date untuk memastikan computer telah benar-bernar bersih dari virus CryptoLocker (Trojan.GenericKD.1492946) atau malware lain nya. Anda dapat menggunakan antivirus G Data Total Protection, silahkan download di alama http://www.virusicu.com/product/Totalprotection2014.php (lihat gambar 19)
Gambar 19, Hasil scan antivirus G Data
Catatan:
Antivirus G Data sudah dapat membersihkan virus CryptoLocker dan registry yang sudah di ubah oleh virus dan anda tidak perlu melakukan proses fix registry lagi.
Antivirus G Data sudah dapat membersihkan virus CryptoLocker dan registry yang sudah di ubah oleh virus dan anda tidak perlu melakukan proses fix registry lagi.
sumber : http://www.vaksin.com/0214-cryptolocker-enkripsi
