Permisi agan agan dan momod momod plus tertama mimin dah. thread pertama ane nih semoga thread ini bisa membantu agan dalam masalah security dunia maya yang semakin hari semakin ngeyel gan,
berikut tritnya gan silahkan simak hehe
Bahaya!!!
Cryptolocker yang mengancam Data anda
Quote:
Bagaimanakah perasaan anda ketika buah hati atau anggota keluarga anda diculik? dan pada saat itu juga si penculik tersebut meminta tebusan dalam waktu tertentu! Mengerikan bukan! Mungkin itu hanya sebuah perumpamaan dari trojan horse cryptolocker bekerja.
Akhir-akhir minggu ini ramai dibicarakan dalam security dunia maya, trojan yang membahayakan data penggunanya, tidak segan-segan lagi semua data dienkripsi olehnya, Ransomware Cryptolocker namanya. Mungkin untuk beberapa orang terdengar canggung dengan kata cryptolocker karena Ransomware merupakan jenis malware baru, ransomware ini akan membajak dan menyandera komputer anda untuk meminta sejumlah uang tebusan, tipe ransomware ini menampilkan jendela popup meminta tebusan untuk mentransfer sejumlah dana untuk mengembalikan data anda. Tidak seperti varian trojan lainnya yang kebanyakan menyerang file sistem windows atau menghidden data, namun kali ini korbannya dibuat pusing berkeling-keling karena data dienkripsi oleh trojan ini, wajar saja korbannya dibuat pusing karena malware ini menampilkan pop-up untuk meminta tebusan senilai 300 USD dalam waktu 72 Jam saja dengan menggunakan Bitcoin atau MoneyPak.
Ransomware Trojan.GenericKD.1491947 dan Trojan.GenericKD.1492946 adalah varian trojan cryptolocker dan bahayanya varian Trojan.GenericKD.1491947 menyebar melalui email attachment dengan contoh attachment : Invoice-E_7B962B6199.zip (69kb) dan ketika dibuka file tersebut berakhiran extensi .exe bukan .pdf yang dapat memanipulasi mata korbannya dengan icon file pdf dan ditambah lagi penasaran si korban untuk membuka file tersebut karena menyangka sesuatu hal penting yang menyangkut pekerjaanya sehingga banyak korban tertipu untuk membukanya, dan ketika di buka otomatis malware tersebut berjalan menginfeksi dan data akan ter-enkripsi oleh trojan ini, contoh nama filenya adalah : STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe , cukup pintar memang karena lain hal malware ini juga membuat penasaran si korban untuk membukanya. Sedangakan varian Trojan.GenericKD.1492946 ini jika sudah menginfeksi pada sistem anda contoh file aktif adalah : Ofeumyzllxohjhxjf.exe (751kb) dan pintarnya malware ini merubah menjadi file system sehingga file ini bersembunyi dan tidak dapat dihapus. (lihat gambar 1)
Spoiler for :
Gambar1. File malware Ofeumyzllxohjhxjf.exe tidak dapat di hapus
Spoiler for :
Quote:
Kabar buruk dari trojan ini adalah file yang dienkripsi tidak dapat dideskripsi lagi kecuali kita membayar uang tebusan senilai 300 USD, tetapi apa anda harus percaya dengan penjahat? Atau anda akan membayar penjahat tersebut? Yang jadi pertanyaan ketika anda membayarnya apakah data anda akan kembali? Mungkin bisa saja kembali atau bisa saja data anda akan hancur selama-lamanya, cukup mengerikan bukan.
Enkripsi merupakan proses mengamankan suatu informasi, merupakan proses untuk mengubah plainteks menjadi chiperteks. Plainteks sendiri adalah data atau pesan asli yang ingin dikirim, sedangkan Chiperteks adalah data hasil enkripsi. Sedangkan Deskripsi merupakan kebalikan dari Enkripsi, upaya pengolahan data menjadi sesuatu yang dimaksud untuk tujuan tertetentu agar dapat dimengerti oleh orang yang menerimanya.
Quote:
Ciri Komputer Anda Terinfeksi
Ya. ciri utama anda terinfeksi malware ini anda diminta terbusan senilai 300 USD yang muncul pada pop-up disistem anda, contohnya seperti gambar berikut : (lihat gambar 2)
Spoiler for :
Gambar2. Popup yang selalu muncul pada sistem windows anda
Quote:
Kenapa anda bisa terinfeksi trojan ini? Jawabanya adalah anda menerima sebuah email yang anda tidak dikenal lalu anda membukanya, dan didalam email tersebut terdapat sebuah attachment yang berisikan cryptolocker ini, contoh email yang berisikan trojan ini seperti gambar berikut : (lihat gambar 3)
Spoiler for :
Gambar3. malware disembunyikan pada attachment ber-ekstension .pdf atau .zip
Spoiler for :
Quote:
Beberapa nama dalam attachment yang termasuk dalam kiriman dari cryptlolocker tersebut yaitu : bad.exe, Invoice-E_48F7B37FA8.pdf.exe, Invoice-E_7B962B6199.zip, STATEMNT-E_.pdf.exe, STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe, 051dd6888c6c6611342965b7f11402f8.exe, c-b4dba-1261-1389186301
051dd6888c6c6611342965b7f11402f8.exe, 051dd6888c6c6611342965b7f11402f8.PE_
STATEMNT-E__pdf_exe dan lain-lain yang mungkin dapat dirandom oleh malware tersebut.
Dilihat pada (gambar 3) siapa yang tidak penasaran untuk membuka attachmentnya, ketika anda membukanya trojan ini mulai berjalan pada sistem anda dan lama kelamaan data anda akan terenkripsi dengan menyimpan privat key anda di server cryptolocker. Privat key dan Publik key merupakan sebuah pasangan yang tidak dapat dipisahkan dan tidak dapat ditukar satu sama lainnya, dan masing-masing punya pasangannya hanya 1 di dunia ini, apa pun yang dienkripsi dengan publik key hanya dapat didekripsi oleh yang sesuai Private Key dan sebaliknya. Trojan ini dapat menyimpan privat key kita pada servernya. Untuk itu berhati-hatilah ketika anda menerima email dari yang anda tidak kenal.
Proses Trojan Ini Aktif
Munculnya file-file aneh yang tidak dikenal atau file acak yang letaknya di C:\User\<User>\AppData\local\<nama acak>.exe, berikut file yang dibuat malware ini : Hiijzzhrailjvj.exe, ls430.exe, Azpeaevfvionvph.exe, Htoerngdvedlh.exe, cryptolocker.ojovirus, nseseyecywodplrj.exe, Hfoqaxolcychlvjdb.exe, Ftchkqwwkzdnbvrdpz.exe, Writtenmotion, Clwsyuisytupjlz.exe, Qtkmuxdumhtpfjnvf.exe, Ofeumyzllxohjhxjf.exe dan beberapa nama acak lainnya.
Tanda trojan ini aktif adalah komputer anda terasa lambat dan desktop background anda akan berubah menjadi seperti gambar berikut :
Spoiler for :
Gambar4. Background desktop yang diganti oleh malware tersebut
Quote:
Sekilas bagi kita itu hanya background saja yang dapat kita hiraukan namun pada popup yang muncul anda akan jengkel karena popup ini tidak dapat di close/keluar, contoh popup bayaran yang muncul seperti gambar berikut :
Spoiler for :
Gambar5. Popup meminta kita untuk membayar dalam bentuk BitCoin ataupun MoneyPak
Cara Kerja :
Spoiler for :
Quote:
Cara kerja trojan ini adalah ketika anda pertama kali terinfeksi CryptoLocker, itu akan membuat file dirinya sebagai nama file bernama acak ke root %AppData% atau %path LocalAppData%. Ini akan membuat salah satu entri autostart berikut dalam registri untuk memulai CryptoLocker ketika Anda login:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run "CryptoLocker"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce "*CryptoLocker"
" (*) di depan nilai RunOnce menyebabkan CryptoLocker dapat berjalan dalam Safe Mode "
dan akan meng-enkripsi file yang berekstensi:
*.Odt = OpenOffice Writer, *.ods = Spreadsheet , *.odp = ODF Persentation, *.ODM = OverDriveMedia File, *.ODC = Office Data Connection, *.odb = Open Document Database, *.doc = Word 97-2003, *.docx = Microsoft Word, docm = Word Macro-Enable, *. wps = Works WordProcessor file, *. xls = Excel 97-2003, *.xlsx = Excel workbook, *.xlsm = Excel Macro-Enable, *. xlsb = Excel Binary Workbook, *. xlk = Excel Backup file, *.ppt = Powerpoint 97-2003 Persentation, *.pptx = Powerpoint Persentation , *.PPTM = Microsoft PowerPoint Macro-Enabled Presentation file, *.mdb = Microsoft Access databases, *. accdb = Microsoft acces file, *.pst = Personal Storage Table, *.DWG = File Autocad, *.dxf = Drawing Exchange Format File, *.wpd = Wors Perfect, *.rtf = Rich Text Format, *.WB2 = Corel Quattro Pro File, *.MDF = Disk Image, *.PSD = File AdobePhotoshop, *.pdf = File PDF, *.ai = adobe Ilustrator, *.indd = adobe InDesign Document, *. cdr = File CorelDraw, * jpg = File Gambar , * jpe = File Gambar, *.img = Image file,*.3fr = Raw Image, dll.
Apa yang harus anda lakukan ketika komputer anda terinfeksi malware ini?, hal yang harus pertama dilakukan adalah melepas kabel jaringan yang terhubung pada komputer anda, setelah itu anda dapat menghapus nilai registry malware ini namun ini tidak disarankan jika anda akan mengambil keputusan untuk membayar sejumlah uang tebusan yang diminta, tetapi apabila anda tidak ingin membayarnya anda bisa mengahapus file registry malware ini untuk menemukan metode lain.
Cara Kerja Trojan Tersebut
Langkah pertama trojan ini menyebar melalui spam email yang mengaku berasal dari bank atau perusahaan pengiriman, dan ketika anda membuka lampiran yang terlampir dalam email tersebut (sekilas dalam pandangan mata file tersebut berbentuk .ZIP atau .RAR dan ketika dibuka, kita menyangka file tersebut berbentuk .PDF namun tidak nyatanya file tersebut berbentuk .PDF.EXE) maka otomatis komputer anda akan terinfeksi.
Spoiler for :
Gambar6. Isi dari attachment yang dikirim untuk menginfeksi komputer kita setelah di ekstrak
Quote:
Secara diam-diam dan perlahan trojan ini mendownload Trojan.Agent.ZDFA jika kita sudah mengklik isi dari attachment tersebut, dan akan mengenkripsi file : foto, video, document dll dengan enkripsi file menggunakan RSA 2048 untuk publik key yang dihasilkan, sedangkan untuk mendeskripsikan kembali file anda, anda memerlukan privat key yang disimpan di server cryptolocker, server akan menghancurkan privat key setelah waktu yang ditentukan dalam popup habis (dalam waktu 72 jam) dan data anda tidak akan pernah bisa dikembalikan lagi. Untuk mendapatkan privat key yang secara otomatis akan mendeskripsikan file anda, anda diminta untuk mebayar 300 USD dengan menggunakan Bitcoin atau MoneyPak. Malware ini memiliki indikasi polymorphic (virus dapat bermutasi) sehingga ada kemungkinan Software Anti-virus tidak bisa mendeteksi mutasi terbaru dari virus ini.
Berikut contoh display pembayaran bitcoint dan MoneyPak
Spoiler for :
Gambar7, Permintaan pembayaran melalui bitcoin dengan meminta 0,6 BTC dan meminta dikirim ke alamat yang dituju.
Spoiler for :
Gambar8, Permintaan pembayaran melalui MoneyPak dengan meminta 300 USD.
Quote:
Dan ketika popup itu muncul pada layar anda, data anda otomatis suda terenkripsi oleh trojan ini, contoh file jpg dan word yang di enkripsi dan tidak dapat ditampilkan:
Spoiler for :
Gambar9, file jpg tidak dapat ditampilkan karena suda di-enksipsi
Spoiler for :
Gambar10, file *.docx tidak dapat dibuka setelah terenkripsi
Spoiler for :
Gambar11, file *.doc yang dibuka ketika sudah dienkripsi
Quote:
Cara Pencegahan dan Pembersihan
- Langkah pertama untuk mencegah virus ini adalah melakukan backup data secara berkala dan terpisah.
- Gunakan antivirus G Data Total Protection dengan update virus database terbaru, otomatis G Data mendeteksi adanya malware ini.(lihat gambar 14) untuk link download silahkan kunjungi http://www.gdatasoftware.com/free-trial.html.
Spoiler for :
Gambar11. G Data Total Protection mendeteksi adanya malware dari isi attachment email sebagai STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe
Quote:
Sedangkan ketika malware ini telah menginfeksi komputer anda G Data Total Protection akan mendeteksi adanya malware ini (lihat gambar 15) begitupun yang dimiliki kelebihan G Data Total Protection untuk Behavior Monitoringnya (lihat gambar 13).
Spoiler for :
Gambar12. Scaning menggunakan G Data Total Protection yang mendeteksi malware yang menginfeksi komputer anda
Spoiler for :
Gambar13. Behavior Monitoring G Data Total Protection mendeteksi malware Cryptlolocker yang aktif pada sistem kita contoh "kjkkkimaztdmphlztv.exe"
Spoiler for :
Gambar14. Web Protection G Data membatalkan aksi malware yang mendownload malware-malware lain.
Spoiler for :
Quote:
Untuk fix registry bisa dilakukan dengan membuat script berikut :
[Version]
signature="$Chicago$"
Provider=vaksincom Oyee
[DefaultInstall]
DelReg=del
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, *CryptoLocker
Masukan script tersebut didalam notepad, kemudian simpan dengan nama “fixreg.inf” (Save As Type menjadi All Files agar tidak terjadi kesalahan). Kemudian jalankan fixreg.inf dengan klik kanan, kemudian pilih install.
Apabila anda menggunakan G Data Total Protection maka registry yang dibuat oleh CryptoLocker akan dihapus oleh G Data.
Catatan : Untuk mencegahnya bisa dilakukan instalasi G Data Total Protection untuk melindungi komputer anda dari malware tersebut.
Quote:
sekian trit dari ane gan semoga bermanfaat dah ane gak nolak kalau dikasih
dan sangat tidak disarankan untuk
byebye
kamar sebelah sepi gan