Pada posting kali ini saya ingin membahas tentang Trojan GPCoder
Pendahuluan
Trojan GPCoder [Kaspersky=Trojan-Ransom.Win32.Gpcode.e] adalah salah satu malware yang merupakan tipe ransomware. Berbeda dari trojan lainnya tipe ransomware berukuran 116.0 KB ( 118784 bytes ) ini meminta sejumlah "tebusan" yang biasanya harus dikirimkan ke sang pembuat malware melalui liberty reverse dan sebagainya.
Trojan GPCoder pertama kali dtemukan sekitar tahun 2005 [23.06.2005 05:47 dari time date stampnya] dan beberapa variannya masih tersebar hingga tahun 2008 dan sampai sekarang masih bisa ditemukan beberapa varian dari Trojan GPCoder tersebut.
Risk, Tehnik Enkripsi
Trojan GPCoder termasuk malware dengan tingkat risk yang tinggi,karena mampu meng-enkripsi file tertentu dengan cara "mengoverwrite" yaitu menghapus file asli kemudian membuat file enkripsi,misalnya file coba.txt akan dibuat copy filenya menjadi codercoba.txt kemudian file coba.txt dihapus lalu file codercoba.txt akan di rename menjadi coba.txt.
Tehnik enkripsi Trojan GPCoder menggunakan RSA-1024 dan AES-256 membuat recovery file menjadi sangat sulit. Jenis file yang dapat di enkripsi pun bermacam-macam,seperti dikutip dari securelist, berikut beberapa extensi yang di infeksi :
7z | abk | abd | acad |
arh | arj | ace | arx |
asm | bz | bz2 | bak |
bcb | c | cc | cdb |
cdw | cdr | cer | cgi |
chm | cnt | cpp | css |
csv | db | db1 | db2 |
db3 | db4 | dba | dbb |
dbc | dbd | dbe | dbf |
dbt | dbm | dbo | dbq |
dbx | Djvu | doc | dok |
dpr | dwg | dxf | ebd |
eml | eni | ert | fax |
flb | frm | frt | frx |
frg | gtd | gz | gzip |
gfa | gfr | gfd | h |
inc | igs | iges | jar |
jad | Java | jpg | jpeg |
Jfif | jpe | js | jsp |
hpp | htm | html | key |
kwm | Ldif | lst | lsp |
lzh | lzw | ldr | man |
mdb | mht | mmf | mns |
mnb | mnu | mo | msb |
msg | mxl | old | p12 |
pak | pas | pem | |
pfx | php | php3 | php4 |
pl | prf | pgp | prx |
pst | pw | pwa | pwl |
pwm | pm3 | pm4 | pm5 |
pm6 | rar | rmr | rnd |
rtf | Safe | sar | sig |
sql | tar | tbb | tbk |
tdf | tgz | txt | uue |
vb | vcf | wab | xls |
xml |
Analysis
saat dijalankan,Trojan GPCoder membuat mutex encoder_v1.1,pada beberapa variannya dia akan membuat mutex bernama "_G_P_C_."
pada folder yang terdapat file hasil enkripsi Trojan GPCoder akan terdapat file text seperti berikut:
Pada beberapa antivirus,file yang di enkripsi oleh Trojan GPCoder ini akan dideteksi sebagai malware atau file terinfeksi. Cara aman untuk menghindari Trojan GPCoder ini adalah update AntiVirus anda dan selalu backup file anda. Tidak semua Tools yang beredar menjamin bisa mengembalikan file hasil enkripsi Trojan GPCoder ini 100%.
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
di file terenkripsi terdapat header sebagai berikut : PGPcoder md56
string body Trojan GPCoder:
referensi :
http://www.securelist.com/en/descriptions/old313444
http://en.wikipedia.org/wiki/PGPCoder
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
http://www.securelist.com/en/descriptions/old313444
http://en.wikipedia.org/wiki/PGPCoder
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
0 komentar:
Posting Komentar