Home > Analisa Virus > Dalexis.Q: Si Penyebar CTB Locker

Dalexis.Q: Si Penyebar CTB Locker

Dalexis.Q Si Penyebar CBT Locker

Dilaporkan menyebar melalui attachment pada email, trojan ini menjebak pengguna komputer untuk menjalankannya. Dalexis.Q dengan menggunakan icon PDF, ketika dibuka malah menampilkan dokumen RTF.

Siapa sangka, jika file pada attachment ini hanyalah jembatan untuk men-download varian ransomware yang mengenkripsi data-data pengguna. Ransomware yang di-download dideteksi PCMAV sebagai CryptoLock.BU atau juga dikenal dengan nama CTB Locker.

Ada beberapa DNS yang diakses oleh Dalexis.Q. Pertama yaitu 69.64.81.225:443, kemudian 112.215.101.80:80 dan terakhir yaitu 8.29.143.169:443. Melalui Internet inilah, ransomware hadir di komputer yang terinfeksi. Lokasi CryptoLock.BU sendiri berada di C:\Documents and Settings\Administrator\Local Settings\Temp\5376937.exe. Perlu diingat jika nama file bersifat acak.

CryptoLock.BU akan dipanggil di setiap startup melalui registry, juga dengan nama acak:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\lzjolhn
C:\Documents and Settings\Administrator\Local Settings\Temp\oyrjnae.exe

File yang dienkripsi akan memiliki ekstensi acak di setiap komputer seperti *.nyjmfgh. Ekstensi file yang diincar antara lain yaitu *.txt, *.pdf, *.doc, *.ppt, *.xls, *.jpg, *.zip, *.js, *.config, *.cs, *.sql, *.mdb dll.

Petunjuk untuk men-decrypt file berada di folder Documents dengan nama acak seperti Decrypt All Files nyjmfgh.txt, namun seperti biasa, tidak dianjurkan mengikuti instruksi pembuat ransomware untuk membayar uang tebusan dikarenakan tidak ada jaminan jika janji men-decrypt ditepati.

Daftar file-file yang dienkripsi dapat dilihat pada file html yang berlokasi di C:\Documents and Settings\All Users\Application Data\arzbpef.html (nama file acak).

Tindakan cepat jika terkena trojan ini yaitu dengan membersihkan terlebih dahulu sistem. Scan memory dengan PCMAV untuk membersihkan trojan. Tahap selanjutnya yaitu mengembalikan data yang terenkripsi. Proses pengembalian ini tidaklah mudah karena logika dari teknik enkripsi yaitu memerlukan private key yang hanya diketahui pembuat malware. Oleh karena itu, sebelum program decryptor tersedia, gunakanlah program recovery untuk mengembalikan file yang terhapus.

Bagaimana pun juga, perilaku berkomputer menentukan keamanan sistem. Hindari membuka attachment berupa file executable meski dari pengirim yang dikenal. Bisa jadi pengirim tersebut sudah terinfeksi virus dan mengirim virus ke email Anda. Jika tidak yakin, gunakan program virtualisasi atau konsultasikan terlebih dahulu ke profesional.

PCMAV 10.0.0 dengan Update Build 6 sudah dapat mengenali Dalexis.Q dan CryptoLock.BU serta virus terbaru lainnya yang beredar di Indonesia.

Jika update tidak dapat dilakukan secara online, silahkan download Update Build 6 dari https://www.sendspace.com/file/lapbpr

Facebooktwittergoogle_plusredditpinterestlinkedinmail
  1. ruli
    February 9th, 2015 at 17:11 | #1

    jangan pada banyak omong yah, setelah gw decrypt nanti akan gw komen disini lagi. lihat aja kalian semua akan kaget 😀

  2. PC Ranger
    February 10th, 2015 at 06:08 | #2

    @ruli :

    Nah gitu dong, Sob. Ente posting/upload dong trik/videonya ke forum-forum besar dan youtube. Kalo udah, kabari dimari yah. Moga Allah ngasih ente pahala berlipat ganda. Amin.

  3. ruli
    February 10th, 2015 at 11:58 | #3

    udah gw buka pakai gedit, kok sisinya berantakan yah? itu diapain sih.

  4. PayBack
    February 10th, 2015 at 14:10 | #4

    @ruli : oalah sob…..kowe iki baru ngerti toh…????opo aku kirim 80 gb dataku untuk bisa kau kembalikan semudah yang kau kira? ngelu bro….

  5. ruli
    February 10th, 2015 at 14:35 | #5

    cuma decrypt ama rename doang masa lo tidak bisa 😀 masa suruh-suruh orang lain

  6. Indra
    February 10th, 2015 at 17:06 | #6

    @ruli

    klo itu namanya bukan encrypt. tukang recovery data aja gak bisa balikin data. mana buktinya bisa decrypt file? Klo bisa, coba sono post di kaskus 😀

  7. brandon
    February 10th, 2015 at 21:36 | #7

    @payback
    buset sampe 80 gb gak salah tuh knp ga sampe 1 tera aja 😀

    @indra
    lo bisanya ngomong doang, hina2 doang, action kagak ada 🙁 masih mending ruli udah susah2 bantu biarpun zonk 😀

    dah gw bilang make qihoo masih butuh waktu buat produk lokal meraih kepercayaan.

  8. Indra
    February 10th, 2015 at 22:16 | #8

    @brandon

    bantu apa? gak ada hasilnya. gw bantuin kok. tanya aja sama yg sering aktif di kaskus virus klinik. nah lu sendiri bantu apa?

  9. brandon
    February 12th, 2015 at 08:53 | #9

    @indra
    dari awal gw gak pernah mo bantuin lo pada yg ada malah nyuruh2 lo pake qihoo 😀 emgnya misal gw kasih bantuan jg pastinya lo gak pada mau. palingan lo di kaskus virus klinik sama kayak gw nyuruh2 org make antivirus luar hahaha

  10. moma
    February 12th, 2015 at 10:22 | #10

    jadi masih belum bisa dibalikin file yang udah terinfeksi ya???

  11. Indra
    February 12th, 2015 at 14:28 | #11

    @brandon

    lihat dulu threadnya. gw yakin lu gak berani saranin pake qihoo di kaskus virus klinik, hahaha…

  12. brandon
    February 14th, 2015 at 22:46 | #12

    @indra
    lo yg make avatar bunderan kuning atau perisai? sama aja kayaknya gak nyuruh2 gunain antivirus luar tapi malah kasih link2 post org2 ngobrol 😀

  13. Indra
    February 15th, 2015 at 09:29 | #13

    @brandon

    salah org. coba reply atau post disitu dulu. jangan cuma jadi silent reader 😀

  14. ruli
    February 16th, 2015 at 16:39 | #14

    tuh kan benar cuma omong doang, yang sudah jago saja cuma bisa ngomong doang bagaimana gw yang awam cuma menyerah saja deh 😀

  15. Nd4
    February 17th, 2015 at 22:24 | #15

    @ruli

    hayo tampilkan idenditasmu, cuma berani anonimitas. gak bisa dipertanggung jawabkan. 🙂

  16. ruli
    February 18th, 2015 at 11:52 | #16

    I was nobody 🙂

  17. February 18th, 2015 at 13:52 | #17

    cuman bisa ketawa, ini para user winsucks yang musuhin @ruli pada mikir ngga sih?
    1. udah tau nyerang winsucks masih aja argumen pembelaan diri
    2. udah dikasih solusi, ngga dipakai solusinya
    3. udah tau @ruli pake linux yang ctb-locker ngga ngefek blas-blas-blas, ngapain disangkutin ke winsucks (beda jurusan antara monolitik vs gado-gado)

    gw jg user winsucks tapi ya ngga segitunya^^,

  18. Nd4
    February 18th, 2015 at 21:39 | #18

    @dwi

    ctb-locker gk cuma ganti ekstensi file aja, itu enkripsi. mungkin gak pernah baca beberapa tentang artikel dari ade malsasa akbar 🙂

  19. PC Ranger
    February 19th, 2015 at 16:59 | #19

    @dwi :

    Sob, ente baru bangun dari mati suri atau pulang dari planet mana? Sudah baca komen-komen dari page #1? Jadi jangan jadi PK-lah. Udah terbukti kok @ruli cuma omdo doang.

  20. ruli
    February 20th, 2015 at 10:46 | #20

    https://www.virustotal.com/en/file/d765e722e295969c0a5c2d90f549db8b89ab617900bf4698db41c7cdad993bb9/analysis/

    terus ada yg komentar gini “Just tested this on my Virtual Machine and guess what? It didn’t work. The servers of Cryptolocker has been taken down by the Feds and now the malware cannot produce an encryption key.”

    pantes beritanya seperti hilang begitu saja ternyata sudah punah 🙂 padahal gw sudah semangat-semangat tapi nyatanya sudah tidak berfungsi lagi virusnya dan tinggal sisa-sisanya saja berupa file yang ke lock.

    IT dikantor gw juga bilang sebenarnya kalau pc server yang terhubung ke pc klien dipasangi antivirus biarpun sekelas clamav sudah cukup untuk mengamankan sehingga virus tidak sampai ke pc klien. bahkan antivirus yang direkomendasi brandon pun sudah bisa mendeteksinya apalagi antivirus yang sudah punya nama.

    @dwi : diemin saja user sini memang begitu 😀

  21. ruli
    February 20th, 2015 at 10:51 | #21

    komen gw sedang menunggu moderation (padahal cuma kasih link virustotal) biar kalian tahu saja, case closed.

  22. 212
    February 23rd, 2017 at 12:07 | #22

    eeeeinggggg..inggggggg..eeeengggg… sooo..?? gmana ada solusinya gak..? udah hampir 2 tahoen kayanya blom ada yg bisa atau solusinya ttg CTB locker..?? apa gw kali ya yg bego lama pasrah hehehe..

  23. PC Ranger
    March 1st, 2017 at 12:55 | #23

    @212 :

    Kalo yang elo maksud file-file yang terenkripsi (terkunci) oleh CTB-Locker, penelusuran terakhir gue, emang belon ada solusi pastinya, bray.

    Ada sih beberapa tool yang diklaim sanggup tapi dengan berbagai kemungkinan.

Comment pages
1 2 3592