Malware CTB Locker

Tahun 2014 lalu ada sebuah malware canggih yang melakukan enkripsi data pada komputer kita kemudian meminta uang tebusan, namanya Cryptolocker.  Malware-malware yang meminta uang tebusan ini dikategorikan sebagai ransomware. Tahun ini bermunculan berbagai varian malware yang mempunyai fungsi seperti Cryptolocker. Diantaranya Cryptowall, Cryptodefense, CTB Locker dll. Ternyata ada laporan CTB Locker sudah sampai juga ke Indonesia.

CTB locker merupakan kepanjangan dari Curve Tor Bitcoin. Malware ini menggunakan jenis enkripsi yang lebih canggih daripada cryptolocker. Algoritma yang digunakan adalah elyptic curve . Sementara Cryptolocker menggunakan enkripsi RSA. biasanya menginfeksi melalui email. Misalnya kita mendapat email berisi attachment dalam bentuk zip. Ukuran attachment ini kecil sekitar 19-25 kb. Ketika diekstrak didalamnya biasanya terdapat file berekstensi scr. Bila file tersebut dijalankan dia akan menampilkan sebuah file seperti email dalam bentuk rtf untuk mengelabui korban. Setelah itu malware akan membuat file dengan nama acak pada folder %temp%. Malware juga merubah registry windows untuk mengubah screensaver. Selain itu malware akan membuat sebuah scheduled task agar aktif setiap kali komputer restart. Malware akan menginjeksi kode pada svchost.exe. Kode ini akan melakukan enkripsi terhadap file-file dengan ekstensi berikut:

.pdf
.xls
.ppt
.txt
.py
.wb2
.jpg
.odb
.dbf
.md
.js
.pl dll

Setelah itu malware akan menampilkan pesan bahwa file kita telah dienkripsi. Korban diharuskan membayar sejumlah uang untuk mendapatkan kunci dekripsinya. Korban diberi waktu 96 jam untuk mendapatkan private key. Uang harus dibayarkan via Bitcoin.  Bila kita tidak membayar, private keynya akan dihapus.  Selain itu malware menampilkan daftar file yang telah dienkrip. Malware ini juga menampilkan file yang isinya petunjuk untuk mendapatkan private key.  Isinya adalah private key disimpan pada server yang hanya bisa diakses dengan browser Tor Onion.

Untuk membersihkan virus ini dapat dilihat pada link berikut:

http://www.vaksin.com/0115-clean-ctb-locker

Lebih baik kita berhati-hati ketika menerima email. Lebih waspada, karena bila file telah terenkripsi, akan sulit untuk dapat membongkarnya. Semoga Bermanfaat!

Bahan bacaan

https://www.f-secure.com/weblog/archives/00002788.html

https://curah.microsoft.com/293812/decrypt-your-files-damaged-by-ctb-locker-virus

http://www.welivesecurity.com/2015/01/21/ctb-locker-multilingual-malware-demands-ransome/

http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/

http://www.vaksin.com/all-about-ctb-locker

http://www.vaksin.com/0115-protect-ctblocker

malware ctb locker
malware ctb locker

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.