Panduan Teknologi Penuh Inspirasi

 


Ransomware Locky Mengincar Data Anda

6
Posted February 25, 2016 by Fajar Anggiawan in Virus

Jika ekstensi file-file Anda berubah menjadi .locky, kemungkinan besar komputer Anda telah terinfeksi oleh ransomware terbaru yaitu Locky.

Tampilan Dokumen Ransomware Locky
Sama seperti jenis ransomware lainnya seperti CryptoWall atau CTB Locker, Locky juga mengenkripsi banyak ekstensi file seperti dokumen, gambar, musik dan video serta meminta tebusan BTC 0.5 hingga BTC 1.00 atau sekitar 400 dollar.

Mayoritas penyebaran Locky dilakukan melalui spam yang berisi lampiran berupa file dokumen Microsoft Office. File Doc sebagai lampiran merupakan hal umum dalam kegiatan kirim-mengirim email baik di institusi pendidikan atau pun perusahaan. Dengan sedikit teknik social engineering atau rayuan, file dokumen Word yang dibuka bisa dibilang dapat menjadi bencana bagi Anda yang memiliki data pada komputer, apalagi yang tidak menyimpan data di tempat lain.

Eksistensi Locky menyebar secara luas, baik di Eropa hingga Asia, termasuk Indonesia.

Macro Pada Microsoft
Fitur macro yang disediakan oleh Microsoft pada dokumen berfungsi untuk memudahkan pengguna dalam mengolah dokumen hingga membuat program di dalam dokumen. Namun, fitur ini mulai disalahgunakan oleh pembuat malware sebagai media penyebaran virus hingga virus itu sendiri.

Konsep virus macro sendiri mulai ngetren sejak tahun 1990 dan jika Anda menggunakan Microsoft Office di era 2000an, fitur macro tidak aktif secara bawaan pada produk dari Microsoft Office. Oleh karena itu, secara teknis, Anda terhindar dari ancaman virus macro atau dalam pengertian lain, Anda tidak akan terkena ransomware Locky.  Namun, bagaimana pun juga Microsoft tetap menampilkan peringatan jika suatu file mengandung kode macro disertai menu jika user ingin mengaktifkannya. Sayangnya, banyak user yang tidak mengatahui apa itu fitur macro sehingga ada peluang user mengaktifkan fitur ini.

Analisa File Dokumen
Dengan bernama invoice_J-19161427.doc dan disebarkan melalui spam, file dokumen ini sebenarnya berfungsi sebagai downloader file ransomware.

Ketika file dokumen berbahaya dijalankan, maka akan muncul pesan untuk mengaktifkan macro jika ingin menampilkan isi tulisan agar dapat terbaca. Microsoft Word secara otomatis juga akan menampilkan notifikasi sekuriti yang berisi macro telah dinon-aktifkan serta tersedia juga tombolm untuk mengaktifkan konten. Jika user mengklik tombol Enable Content sesuai instruksi di dalam dokumen, dokumen akan memanggil program internal Windows yaitu PowerShell.exe untuk mengakses Internet yang bertujuan mendownload file ransomware.

Fitur macro merupakan fitur yang disediakan oleh Microsoft Word yang sebenarnya bertujuan untuk melakukan suatu instruksi di dalam dokumen secara otomatis alias autopilot. Jika dokumen berbahaya ini di analisa maka terdapat folder Macros di dalam file yang berisi kode VBA. Isi perintah kode VBA dapat langsung dilihat melalui Microsoft Word melalui menu Developer – Visual Basic.

Untuk variant terbaru dari file dokumen berbahaya ini, kini tidak mudah untuk membaca kode VBA pada file dokumen berbahaya ini dikarenakan adanya teknik kriptografi yang diterapkan pada source code. Sebagai contoh yaitu pada fungsi berikut:

Jika Anda membaca fungsi tersebut secara sekilas, tidaklah mudah mendefinisikan apa yang dilakukan oleh fungsi tersebut.  Hasil dari variabel relief yaitu:

Variable shikari sendiri merupakan lokasi hasil download dari url tersebut yaitu di %TEMP%\conjunctiva.exe.  Setelah selesai di-download, file conjunctiva.exe akajn dijalankan.

Hingga tulisan ini dibuat, file ransomware yang terdapat di website tersebut masih aktif dan dapat di-download dengan nama file di server yaitu 65fg67nlocy.

Dengan fungsi yang terenkripsi pada source code, diharapkan antivirus tidak dapat mendeteksi file dokumen tersebut dengan pendeteksian secara generic sehingga diperlukan penambahan signature terlebih dahulu untuk mendeteksi file malware ini.

Karakteristik Locky
Locky mengenkripsi file dengan enkripsi RSA dan AES di semua drive termasuk drive network yang tidak terhubung alias unmapped. Disinilah uniknya Locky karena berinistiaf untuk menghubungkan drive network yang unmapped dengan alibi drive tersebut terdapat data atau tempat backup data.

Instruksi Locky Kepada Korban

Nama file yang terenkripsi akan diubah oleh Locky menjadi 16 digit bilangan heksa yang berekstensi .locky.
Ekstensi file yang diincar oleh trojan ini yaitu:

Fitur Windows Shadow Volume Copies juga akan dihapus oleh Locky untuk menghindari user dapat mengambil dokumen sebelum terenkripsi.

Pada desktop dan setiap folder yang terdapat file terenkripsi akan terdapat file _Locky_recover_instructions.txt dimana file ini berisi informasi tentang apa yang terjadi dan bagaimana cara menebus file yang terenkripsi.
Locky juga akan mengubah wallpaper pada desktop dari gambar di %UserProfile%\Desktop\_Locky_recover_instructions.bmp yang isinya sama seperti instruksi di file teks.

File Locky akan aktif di folder temporary dengan nama acak. Tidak ada objek yang dibuat trojan ini agar dapat aktif di setiap startup komputer.

Kesimpulan
Bagaimana membuka lampiran email yang berisi file dokumen? Memang tidak mudah secara teknis untuk membedakan file dokumen yang aman. Oleh karena itu pastikan konfigurasi macro dinonaktifkan. Untuk menonaktifkan macro pada Microsoft Word, masuk ke menu File – Options – Trust Center – Trust Center Settings – Macro Settings dan pilih opsi Disable all macros with notification. Pastikan juga ActiveX dinonaktifkan melalui menu File – Options – Trust Center – Trust Center Settings – ActiveX Settings dan pilih opsi Prompt me before enabling all controls with minimal restrictions.

PCMAV Mendeteksi Variant Locky
Tidak membuka lampiran email dari pengirim yang tidak dikenal terutama file yang bersifat executable, script dan dokumen merupakan tindakan preventif terbaik untuk terhindar dari ancaman ransomware yang berusaha mengenkripsi data. Alternatif lain yaitu menggunakan program emulasi seperti VMWare atau Sandboxie. Khusus penggunaan Sandboxie, diperlukan pengaturan khusus agar malware tidak dapat mengakses Internet.

PCMAV 10.1.4 dapat mengenali berbagai varian malware terbaru yang dilaporkan meneybar di Indonesia termasuk variant Locky dan ransomware lainnya, baik yang menyebar melalui file dokumen, HTA, JS dan VBS. Pastikan juga untuk selalu mengupdate signatures dengan Update Build terbaru yang didapatkan melalui update online atau blog VirusIndonesia.com untuk mendeteksi ancaman malware terbaru.

(Visited 2,433 times, 3 visits today)

Share artikel ini melalui:
Share on Facebook8Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

Happiness has many roots, but none more important than security.

  • Haryono o

    kemaren dikantor saya ada yang terkena ransomware locker, untuk pc mav yang sekarang kenapa belum bisa mengenali,

    • Fajar Anggiawan

      PCMAV sudah dapat mendeteksi Locky dan selalu diupdate untuk mendeteksi varian terbaru dari Locky yang jumlahnya tidak sedikit. Jika ada sample baru, silahkan kirim ke http://upload.virusindonesia.com/

      • Haryono o

        pcmav bisa di download di mana ya mas..?

      • Wahyuni Odja

        apa pcmav bisa mengembalikan data yang telah terinveksi virus locky??

    • Coki Torus

      pakah datanya bisa selamat?

  • Pingback: Majalah PC Media 03/2016: Jaringan Seluler 5G - PC Media OnlinePC Media Online()

Latest
 
 

Read more:
5 Hal Yang Harus Anda Lakukan Sebelum Fallout 4 Rilis

Bagi para gamer (khususnya pencinta genre open world dan RPG), tentunya bulan November adalah bulan yang paling ditungu-tunggu. Karena tepat...

Close