Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • LLTP Locker Versi Lain VenusLocker
  • Teknologi

LLTP Locker Versi Lain VenusLocker

6 min read

Credit image: Pixabay

Kali ini kita membahas ransomware LLTP atau LLTP Locker yang baru saja ditemukan sedang mengincar korban yang menggunakan bahasa Spanyol. Jika dilihat lebih dekat, ransomware ini tampaknya merupakan versi tulis ulang dari ransomware VenusLocker.

Singkatnya, Ransomware LLTP memiliki kemampuan untuk bekerja dalam modus online atau offline. Jadi terlepas dari apakah ada koneksi ke Internet, ransomware masih dapat mengenkripsi file korban. Selanjutnya, tidak seperti kebanyakan ransomware, keluarga malware ini memberikan ekstensi yang berbeda untuk file terenkripsi berdasarkan ekstensi asli file tersebut.

Metode Enkripsi LLTP

Saat mulai beraksi pertama kali, ransomware LLTP terhubung ke server Command & Control yang berada di http://moniestealer.co.nf dan mengirim nama komputer korban, nama pengguna dan identifier string “lltp2.4.0”. Dari string lltp2.4.0, dari sini kita bisa menduga bahwa ransomware ini versi 2.4.0.

Ketika ransomware ke server C2, server merespon dengan password AES yang digunakan untuk mengenkripsi file korban dan sebuah ID akan dimasukkan ke dalam ransom note. Jika ransomware tidak mampu menghubungi server C2, ia akan menghasilkan sendiri informasi ini.

Password enkripsi kemudian mengenkripsi menggunakan kunci enkripsi RSA publik embedd dan menyimpan dalam file yang disebut %UserProfile%\AppData\Local\Temp\tlltpl.tlltpl

Korban yang terinfeksi dalam modus offline dan ingin membayar uang tebusan, para pengembang ransomware membutuhkan file tlltpl.tlltpl. File berisi kunci enkripsi korban dan bila dihapus, maka tidak mungkin file yang dienkripsi dapat dipulihkan kembali. Karena itu, disarankan untuk tidak menghapus file tlltpl.tlltpl sampai yakin benar ingin menghapusnya.

Di bawah ini adalah tertanam kunci RSA saat ini digunakan untuk mengenkripsi password AES korban.

uOqfRJL1Q861GuA4Rhv+mHEjdgC9yL/8G/jhaMva3N0FJya4RhKgiyb9+9Pq+WYd/2/CkkeousxWtFD2ysjcI8kQ3YaflICVggmEVvT95/kxrYUBYQYrgDdQX/v+/slLO9jrWlo+1nwDV7hTW7YDKsGpKC71r5SqaRpCefppojE=

AQAB

Ransomware LLTP selanjutnya mulai proses enkripsi korban menggunakan enkripsi AES-256. Tidak seperti kebanyakan ransomware, keluarga ini menggunakan ekstensi yang berbeda untuk file terenkripsi tergantung pada ekstensi asli file tersebut. Jika file memiliki ekstensi seperti di bawah, ransomware akan menambahkan ekstensi .ENCRYPTED_BY_LLTP ke file terenkripsi.

.txt, .ini, .php, .html, .css, .py, .c, .cxx, .aspx, .cpp, .cc, .h, .cs, .sln, .log, .pl, .java, .doc, .dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf, .asp

Jika file memiliki salah satu dari ekstensi berikut, ransomware menggunakan ekstensi .ENCRYPTED_BY_LLTPp di belakang nama file

.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .ost, .oab, .jsp, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .rpt, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .ini, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .docb, .xlt, .xltm, .xlw, .ppam, .sldx, .sldm, .class, .db, .pdb, .dat, .csv, .xml, .spv, .grle, .sv5, .game, .slot, .aaf, .aep, .aepx, .plb, .prel, .prproj, .eat, .ppj, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .svg, .as3, .as
Ketika ransomware mengenkripsi file, ia mengambil nama file asli lalu di encode dengan Base64 kemudian menambahkan ekstensi yang sesuai berdasarkan jenis file yang tercantum di atas. Di saat yang sama ransomware akan mengabaikan setiap file yang berada dalam folder-folder berikut:

Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Ransomware juga membuat folder yang disebut %Temp%\lltprwx86\ dan mengekstrak ke dalam sebuah file bernama encp.exe, yang merupakan salinan yang diganti nama dari Rar.exe. Yang kemudian membuat subfolder bernama Vault dan membuat salinan semua file terenkripsi dengan ekstensi .ENCRYPTED_BY_LLTPp. Setelah selesai, ia akan menggunakan encp.exe untuk membuat arsip RAR yang dilindungi password dalam folder Vault. Password untuk arsip ini serupa dengan 32 karakter password yang digunakan untuk mengenkripsi file.

Perintah yang digunakan untuk membuat arsip dengan password pelindung adalah sebagai berikut:

encp.exe a -r -mt2 -dw -hp [password] -m0 %Temp%\lltprwx86\Files.LLTP %Temp%\lltprwx86\vault\*.*

Setelah proses enkripsi selesai dilakukan, LLTP menghapus Shadow Volume Copies pada komputer korban untuk mencegah mereka untuk memulihkan file. Hal ini dilakukan dengan menggunakan perintah berikut:

C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

LLTP juga mengekstrak sebuah file yang bernama RansomNote.exe dan menyimpannya pada desktop. Lalu membuat autostart agar program ini berjalan secara otomatis ketika pengguna login ke Windows. Begitu dijalankan, program akan menampilkan ransom note berbahasa Spanyol kepada korban.

Ransomware LLTP kemudian mengekstrak teks ransom note pada desktop dengan nama LEAME.text. Pada tahap akhir, ransomware mengunduh file jpg dari http://i.imgur.com/VdREVyH.jpg

Kedua ransom note tersebut dan background desktop menuntut pembayaran uang tebusan sebesar 0,2 BTC, atau sekitar $200 USD setara dengan 2,6 juta rupiah. lalu ada instruksi agar pembayaran harus dikirim ke alamat bitcoin 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP dan kemudian korban harus menghubungi pengembang ransomware di LLTP@mail2tor.com dengan ID pribadi mereka dan transaksi pembayaran. Pada saat ini tidak ada pembayaran yang dilakukan ke alamat bitcoin yang terdaftar.

Sumber berita:


https://www.bleepingcomputer.com

Tags: Cyber security ESET deteksi Ransomware Ransomware Super Ringan

Continue Reading

Previous: Revenge Menyebar dengan Bantuan Eksploit Kit RIG
Next: Malware Android Manipulasi Plugin Framework

Related Stories

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025

Recent Posts

  • Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis
  • Waspada SIM Swapping Lindungi Akun Digital dari Peretas
  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025

Copyright © All rights reserved. | DarkNews by AF themes.