LLTP Locker Versi Lain VenusLocker

Kali ini kita membahas ransomware LLTP atau LLTP Locker yang baru saja ditemukan sedang mengincar korban yang menggunakan bahasa Spanyol. Jika dilihat lebih dekat, ransomware ini tampaknya merupakan versi tulis ulang dari ransomware VenusLocker.

Singkatnya, Ransomware LLTP memiliki kemampuan untuk bekerja dalam modus online atau offline. Jadi terlepas dari apakah ada koneksi ke Internet, ransomware masih dapat mengenkripsi file korban. Selanjutnya, tidak seperti kebanyakan ransomware, keluarga malware ini memberikan ekstensi yang berbeda untuk file terenkripsi berdasarkan ekstensi asli file tersebut.

Metode Enkripsi LLTP

Saat mulai beraksi pertama kali, ransomware LLTP terhubung ke server Command & Control yang berada di http://moniestealer.co.nf dan mengirim nama komputer korban, nama pengguna dan identifier string “lltp2.4.0”. Dari string lltp2.4.0, dari sini kita bisa menduga bahwa ransomware ini versi 2.4.0.

Ketika ransomware ke server C2, server merespon dengan password AES yang digunakan untuk mengenkripsi file korban dan sebuah ID akan dimasukkan ke dalam ransom note. Jika ransomware tidak mampu menghubungi server C2, ia akan menghasilkan sendiri informasi ini.

Password enkripsi kemudian mengenkripsi menggunakan kunci enkripsi RSA publik embedd dan menyimpan dalam file yang disebut %UserProfile%\AppData\Local\Temp\tlltpl.tlltpl

Korban yang terinfeksi dalam modus offline dan ingin membayar uang tebusan, para pengembang ransomware membutuhkan file tlltpl.tlltpl. File berisi kunci enkripsi korban dan bila dihapus, maka tidak mungkin file yang dienkripsi dapat dipulihkan kembali. Karena itu, disarankan untuk tidak menghapus file tlltpl.tlltpl sampai yakin benar ingin menghapusnya.

Di bawah ini adalah tertanam kunci RSA saat ini digunakan untuk mengenkripsi password AES korban.

uOqfRJL1Q861GuA4Rhv+mHEjdgC9yL/8G/jhaMva3N0FJya4RhKgiyb9+9Pq+WYd/2/CkkeousxWtFD2ysjcI8kQ3YaflICVggmEVvT95/kxrYUBYQYrgDdQX/v+/slLO9jrWlo+1nwDV7hTW7YDKsGpKC71r5SqaRpCefppojE=

AQAB

Ransomware LLTP selanjutnya mulai proses enkripsi korban menggunakan enkripsi AES-256. Tidak seperti kebanyakan ransomware, keluarga ini menggunakan ekstensi yang berbeda untuk file terenkripsi tergantung pada ekstensi asli file tersebut. Jika file memiliki ekstensi seperti di bawah, ransomware akan menambahkan ekstensi .ENCRYPTED_BY_LLTP ke file terenkripsi.

.txt, .ini, .php, .html, .css, .py, .c, .cxx, .aspx, .cpp, .cc, .h, .cs, .sln, .log, .pl, .java, .doc, .dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf, .asp

Jika file memiliki salah satu dari ekstensi berikut, ransomware menggunakan ekstensi .ENCRYPTED_BY_LLTPp di belakang nama file

.asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .ost, .oab, .jsp, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .rpt, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .ini, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .docb, .xlt, .xltm, .xlw, .ppam, .sldx, .sldm, .class, .db, .pdb, .dat, .csv, .xml, .spv, .grle, .sv5, .game, .slot, .aaf, .aep, .aepx, .plb, .prel, .prproj, .eat, .ppj, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .svg, .as3, .as
Ketika ransomware mengenkripsi file, ia mengambil nama file asli lalu di encode dengan Base64 kemudian menambahkan ekstensi yang sesuai berdasarkan jenis file yang tercantum di atas. Di saat yang sama ransomware akan mengabaikan setiap file yang berada dalam folder-folder berikut:

Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Ransomware juga membuat folder yang disebut %Temp%\lltprwx86\ dan mengekstrak ke dalam sebuah file bernama encp.exe, yang merupakan salinan yang diganti nama dari Rar.exe. Yang kemudian membuat subfolder bernama Vault dan membuat salinan semua file terenkripsi dengan ekstensi .ENCRYPTED_BY_LLTPp. Setelah selesai, ia akan menggunakan encp.exe untuk membuat arsip RAR yang dilindungi password dalam folder Vault. Password untuk arsip ini serupa dengan 32 karakter password yang digunakan untuk mengenkripsi file.

Perintah yang digunakan untuk membuat arsip dengan password pelindung adalah sebagai berikut:

encp.exe a -r -mt2 -dw -hp [password] -m0 %Temp%\lltprwx86\Files.LLTP %Temp%\lltprwx86\vault\*.*

Setelah proses enkripsi selesai dilakukan, LLTP menghapus Shadow Volume Copies pada komputer korban untuk mencegah mereka untuk memulihkan file. Hal ini dilakukan dengan menggunakan perintah berikut:

C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

LLTP juga mengekstrak sebuah file yang bernama RansomNote.exe dan menyimpannya pada desktop. Lalu membuat autostart agar program ini berjalan secara otomatis ketika pengguna login ke Windows. Begitu dijalankan, program akan menampilkan ransom note berbahasa Spanyol kepada korban.

Ransomware LLTP kemudian mengekstrak teks ransom note pada desktop dengan nama LEAME.text. Pada tahap akhir, ransomware mengunduh file jpg dari http://i.imgur.com/VdREVyH.jpg

Kedua ransom note tersebut dan background desktop menuntut pembayaran uang tebusan sebesar 0,2 BTC, atau sekitar $200 USD setara dengan 2,6 juta rupiah. lalu ada instruksi agar pembayaran harus dikirim ke alamat bitcoin 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP dan kemudian korban harus menghubungi pengembang ransomware di LLTP@mail2tor.com dengan ID pribadi mereka dan transaksi pembayaran. Pada saat ini tidak ada pembayaran yang dilakukan ke alamat bitcoin yang terdaftar.

Sumber berita:
https://www.bleepingcomputer.com