Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • LLTP Locker Versi Lain VenusLocker
  • Teknologi

LLTP Locker Versi Lain VenusLocker

6 min read

Credit image: Pixabay

Kali ini kita membahas ransomware LLTP atau LLTP Locker yang baru saja ditemukan sedang mengincar korban yang menggunakan bahasa Spanyol. Jika dilihat lebih dekat, ransomware ini tampaknya merupakan versi tulis ulang dari ransomware VenusLocker.

Singkatnya, Ransomware LLTP memiliki kemampuan untuk bekerja dalam modus online atau offline. Jadi terlepas dari apakah ada koneksi ke Internet, ransomware masih dapat mengenkripsi file korban. Selanjutnya, tidak seperti kebanyakan ransomware, keluarga malware ini memberikan ekstensi yang berbeda untuk file terenkripsi berdasarkan ekstensi asli file tersebut.

Metode Enkripsi LLTP

Saat mulai beraksi pertama kali, ransomware LLTP terhubung ke server Command & Control yang berada di http://moniestealer.co.nf dan mengirim nama komputer korban, nama pengguna dan identifier string “lltp2.4.0”. Dari string lltp2.4.0, dari sini kita bisa menduga bahwa ransomware ini versi 2.4.0.

Ketika ransomware ke server C2, server merespon dengan password AES yang digunakan untuk mengenkripsi file korban dan sebuah ID akan dimasukkan ke dalam ransom note. Jika ransomware tidak mampu menghubungi server C2, ia akan menghasilkan sendiri informasi ini.

Password enkripsi kemudian mengenkripsi menggunakan kunci enkripsi RSA publik embedd dan menyimpan dalam file yang disebut %UserProfile%\AppData\Local\Temp\tlltpl.tlltpl

Korban yang terinfeksi dalam modus offline dan ingin membayar uang tebusan, para pengembang ransomware membutuhkan file tlltpl.tlltpl. File berisi kunci enkripsi korban dan bila dihapus, maka tidak mungkin file yang dienkripsi dapat dipulihkan kembali. Karena itu, disarankan untuk tidak menghapus file tlltpl.tlltpl sampai yakin benar ingin menghapusnya.

Di bawah ini adalah tertanam kunci RSA saat ini digunakan untuk mengenkripsi password AES korban.

uOqfRJL1Q861GuA4Rhv+mHEjdgC9yL/8G/jhaMva3N0FJya4RhKgiyb9+9Pq+WYd/2/CkkeousxWtFD2ysjcI8kQ3YaflICVggmEVvT95/kxrYUBYQYrgDdQX/v+/slLO9jrWlo+1nwDV7hTW7YDKsGpKC71r5SqaRpCefppojE=

AQAB

Ransomware LLTP selanjutnya mulai proses enkripsi korban menggunakan enkripsi AES-256. Tidak seperti kebanyakan ransomware, keluarga ini menggunakan ekstensi yang berbeda untuk file terenkripsi tergantung pada ekstensi asli file tersebut. Jika file memiliki ekstensi seperti di bawah, ransomware akan menambahkan ekstensi .ENCRYPTED_BY_LLTP ke file terenkripsi.

.txt, .ini, .php, .html, .css, .py, .c, .cxx, .aspx, .cpp, .cc, .h, .cs, .sln, .log, .pl, .java, .doc, .dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf, .asp

Jika file memiliki salah satu dari ekstensi berikut, ransomware menggunakan ekstensi .ENCRYPTED_BY_LLTPp di belakang nama file

.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .ost, .oab, .jsp, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .rpt, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .ini, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .docb, .xlt, .xltm, .xlw, .ppam, .sldx, .sldm, .class, .db, .pdb, .dat, .csv, .xml, .spv, .grle, .sv5, .game, .slot, .aaf, .aep, .aepx, .plb, .prel, .prproj, .eat, .ppj, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .svg, .as3, .as
Ketika ransomware mengenkripsi file, ia mengambil nama file asli lalu di encode dengan Base64 kemudian menambahkan ekstensi yang sesuai berdasarkan jenis file yang tercantum di atas. Di saat yang sama ransomware akan mengabaikan setiap file yang berada dalam folder-folder berikut:

Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Ransomware juga membuat folder yang disebut %Temp%\lltprwx86\ dan mengekstrak ke dalam sebuah file bernama encp.exe, yang merupakan salinan yang diganti nama dari Rar.exe. Yang kemudian membuat subfolder bernama Vault dan membuat salinan semua file terenkripsi dengan ekstensi .ENCRYPTED_BY_LLTPp. Setelah selesai, ia akan menggunakan encp.exe untuk membuat arsip RAR yang dilindungi password dalam folder Vault. Password untuk arsip ini serupa dengan 32 karakter password yang digunakan untuk mengenkripsi file.

Perintah yang digunakan untuk membuat arsip dengan password pelindung adalah sebagai berikut:

encp.exe a -r -mt2 -dw -hp [password] -m0 %Temp%\lltprwx86\Files.LLTP %Temp%\lltprwx86\vault\*.*

Setelah proses enkripsi selesai dilakukan, LLTP menghapus Shadow Volume Copies pada komputer korban untuk mencegah mereka untuk memulihkan file. Hal ini dilakukan dengan menggunakan perintah berikut:

C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

LLTP juga mengekstrak sebuah file yang bernama RansomNote.exe dan menyimpannya pada desktop. Lalu membuat autostart agar program ini berjalan secara otomatis ketika pengguna login ke Windows. Begitu dijalankan, program akan menampilkan ransom note berbahasa Spanyol kepada korban.

Ransomware LLTP kemudian mengekstrak teks ransom note pada desktop dengan nama LEAME.text. Pada tahap akhir, ransomware mengunduh file jpg dari http://i.imgur.com/VdREVyH.jpg

Kedua ransom note tersebut dan background desktop menuntut pembayaran uang tebusan sebesar 0,2 BTC, atau sekitar $200 USD setara dengan 2,6 juta rupiah. lalu ada instruksi agar pembayaran harus dikirim ke alamat bitcoin 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP dan kemudian korban harus menghubungi pengembang ransomware di LLTP@mail2tor.com dengan ID pribadi mereka dan transaksi pembayaran. Pada saat ini tidak ada pembayaran yang dilakukan ke alamat bitcoin yang terdaftar.

Sumber berita:


https://www.bleepingcomputer.com

Tags: Cyber security ESET deteksi Ransomware Ransomware Super Ringan

Continue Reading

Previous: Revenge Menyebar dengan Bantuan Eksploit Kit RIG
Next: Malware Android Manipulasi Plugin Framework

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.