Sebagian besar Ransomware diketahui ada yang Lockscreen yang mengunci layar komputer dan menggantinya dengan full screen image, meski tidak menginfeksi file, tetapi user tidak bisa mengakses ke sistem. Dan Filecoder yang beraksi sebaliknya yaitu mengenkripsi file tetapi tidak mengunci layar dan menuntut uang tebusan agar user kembali bisa mengakses file-file di hard drive. Keduanya sama-sama menuntut uang tebusan agar komputer dan file kembali bisa diakses.
Pada kasus terbaru ada juga yang melakukan keduanya yaitu mengunci layar dan mengenkripsi file sekaligus lalu menggantinya dengan menampilkan pesan dan memblok proses untuk menutup komputer. Contoh dari perilaku ini yaitu Android/Simplocker http://www.welivesecurity.com/2014/06/04/simplocker/, Filecoder pertama yang menyerang sistem operasi Android.
ESET, pada Oktober lalu mendeteksi adanya perilaku baru pada Ransomware yang sebelumnya tidak pernah ada. Diidentifikasi sebagai Win32/Virlock, Ransomware ini selain mengunci layar, mengenkripsi file, juga menginfeksi file-file tersebut dengan dengan memasukan program ke executable file – kemudian bertindak sebagai parasitic virus.
Selain bisa ber-reproduksi, Win32/VirLock yang adalah ransomware yang beraksi mengunci layar komputer sehingga tidak menampilkan apapun, juga menjadi parasitic virus, atau virus yang bersifat parasit bagi sistem korban dengan menginfeksi file-file di komputer. Virus Win32/VirLock juga merupakan virus polymorphic sehingga tingkat bahayanya menjadi lebih tinggi. Kombinasi aksi dan kemampuan tersebut merupakan yang pertama ditemukan pada sebuah virus. Para peneliti di ESET mendeteksinya dan mengurai dengan detail tentang Win32 Virlock yang hingga kini sudah terdeteksi di Amerika.
Dari pengamatan ESET, ada sejumlah varian sudah menyebar sejak November 2014 lalu. Ini menunjukkan bahwa pembuat malware, selalu mengembangkan varian baru lalu melepasnya didunia maya.
Win32/VirLock overview
VirLock menginstall programnya secara mandiri di direktori %userprofile% dan %allusersprofile% kemudian menambahkan entri pada Run registry keys di HKCU dan HKLM sehingga program VirLock aktif saat Windows diboot up. Program tersebut baru virus body nya saja belum disertai host file untuk mendecrypt. Varian terbaru VirLock juga memasukan program ketiga yang terdeteksi sebagai service. Metode tersebut menjadi mekanisme pertahanan diri dimana virus akan memperbaiki diri ketika ada upaya terminasi atau menghapus VirLock.
File yang terinfeksi VirLock akan tertanam didalam file Win32 PE dan ditambahkan ekstension .exe, kecuali jika file tersebut sudah merupakan executable file. Ketika dieksekusi, ia akan mendekripsi file aslinya dari dalam, mengirimkannya ke direktorinya lalu membuka kembali. Perilaku inilah yang membedakan dari filecoders pada umumnya.
Program yang dibawa berfungsi mengeksekusi muatan jahat yang dimiliki VirLock. Salah satunya berfungsi menginfeksi file. Untuk bisa melakukannya, Win32/VirLock akan mencari host files baik di lokal dan removable drive, bahkan di jaringan, untuk memaksimalkan penyebarannya. Ekstension file yang diinfeksi berbeda di masing-masing versi VirLock, secara umum Virlock akan menginfeksi file dengan ekstension sebagai berikut:
*.exe, *.doc, *.xls, *.zip, *.rar, *.pdf, *.ppt, *.mdb, *.mp3, *.mpg, *.png, *.gif, *.bmp, *.p12, *.cer, *.psd, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.wma, *.jpg, *.jpeg
Sementara program yang berfungsi mengunci layar memiliki kemampuan mematikan explorer.exe, Task Manager, dan lainnya – kemudian menampilkan pesan meminta tebusan seperti berikut ini :
Pada pesan tersebut terlihat pelaku meminta tebusan dalam bentuk Bitcoin, dan menyertakan informasi cukup jelas bahkan bagi orang yang tidak tahu tentang Cryptocurrency. Untuk keperluan pembayaran, Lockscreen membolehkan korban menggunakan Internet browser dan Notepad di komputer yang terinfeksi. Screenshot tersebut adalah versi awal VirLock, sedangkan versi yang baru tampilannya seperti berikut ini:
Screen locker mampu melokalisasi berdasarkan koneksi. Jika mengkoneksi ke google.com akan diarahkan ke google.com.au, google.ca, google.co.uk, atau google.co.nz. Untuk beberapa Negara tertentu akan ditampilkan nilai tukar Bitcoin dan mata uangnya berikut jumlah tebusan yang bervariasi: sejumlah 150 USD atau 250 USD / GBP / EUR / NZD / CAD / AUD.
Code akan menampilkan nilai tukar Bitcoin terhadap mata uang dan akan update setelah berhasil mencapai C&C servernya.
VirLock polymorphism
Dari perspektif teknis, kemungkinan terbesar malware ini adalah virus polymorphic, dimana body virus akan berbeda sesuai dengan host yang diinfeksi dan waktu eksekusi. Namun sebelum lebih jauh membahas tentang bagaimana perubahan code, perlu juga mengetahui enkripsi multi layer yang digunakan.
Alur eksekusi yang dilakukan varian terdahulu dari Win32/VirLock ditunjukkan pada infografi berikut ini.
Ketika Win32/VirLock binary sudah dimasukan ke memory, satu-satunya code yang tidak terenkripsi adalah XOR stub builder; sedangkan yang lainnya seperti data file program akan terenkripsi.
Aspek yang menarik perhatian dari Win32/VirLock adalah masing-masing fungsinya juga dienkripsi dan memiliki decryption stub diawalnya. Tetapi setelah mengeksekusi fungsinya, body virus akan kembali terenkripsi.
Ada tiga level enkripsi pada VirLock:
– Bagian 1 dari code akan didekripsi oleh XOR stub diawal.
– Bagian 2 dari code didekripsi oleh fungsi didalam bagian 1
– Hampir semua fungsi didalam virus code (Bagian 1 dan 2) dienkripsi kemudian akan didekripsi ketika keduanya dieksekusi setelah itu akan dire-enkripsi kembali.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia, tentang penyebaran Ransomware Win32/VirLock menyampaikan “VirLock menyatukan dua perilaku ransomware –Lockscreen dan Filecoder- yaitu mengunci layar dan mengenkripsi file dalam sekali serangan oleh satu Virus VirLock. Perilaku lain dan ini yang membuatnya lebih canggih adalah kemampuannya berfungsi sebagai polymorphic parasitic virus. Perilaku tersebut kemunginan besar membuat user yang terinfeksi menjadi sangat takut, lalu menyerah dengan membayar tebusan. Kemungkinan tersebut terlihat dari laporan infeksi yang terbilang sedikit tetapi ada transaksi Bitcoin yang meningkat”.
Pengamatan oleh ESET LiveGrid® telemetry menunjukkan jumlah korban masih relatif rendah dan saat ini skala ancaman VirLock masih jauh dibawah TorrentLocker atau ransomware lain yang sudah lebih dulu beredar mengingat sepak terjangnya yang masih relative baru. Namun, melihat transaksi terkait dengan Bitcoin yang digunakan oleh malware, mengindikasikan adanya korban infeksi yang memilih untuk membayar tebusan. ESET akan We will continue monitoring the evolution of this new ransomware strain.
CATATAN: User yang filenya terinfeksi Win32/VirLock bisa direcovery kembaili dengan menggunakan ESET standalone cleaner, dan bisa didownload dengan mengunjungi link berikut ini http://download.eset.com/special/ESETVirlockCleaner.exe
