Berikut analisa sngkat dan sederhana saya pada Trojan-Ransom.Blocker ini. Trojan-Ransom.Blocker adalah Trojan jenis Ransomware berukuran 57.0 KB ( 58368 bytes ) tanpa dipack. Dikompile dengan Microsoft Visual C++ 2010. Berdasarkan time date stampnya, Trojan ini tergolong masih baru karena dibuat tanggal 05.07.2013 14:33.
Nama lain:
Win32/Filecoder.NAR (Eset-NOD32)
Trojan.Encoder.260 (DrWeb)
Aksi
Trojan-Ransom.Blocker menurut saya seperti Trojan-Ransom LockScreen dan GPCoder yang digabung menjadi satu, berikut aksinya ketika aktif di memory
* mendownload file image http://s9.postimg --dot-- org/4kp693cn3/image.jpg
* mengunci layar dengan menampilkan gambar hasil download (seperti gambar diatas)
jadi jika komputer tidak terkoneksi ke -internet maka Trojan-Ransom.Blocker tidak akan mengunci
dekstop dan meng-enkripsi file.
* menterminate proses taskmgr.exe dan regedit.exe
* melakukan enkripsi file dengan ekstensi *.jpg, *.doc, *.xls, *.ppt, *.zip, *.rar, *.pdf, *.mp3, *.txt, *.lnk
kemudian me-renamenya dengan menambahkan ekstensi *.html
Pada saat artikel ini dibuat, masih banyak antivirus yang tidak atau belum mendeteksinya berdasarkan hasil deteksi di VirusTotal, dan beberapa antivirus ternama mendeteksi Trojan-Ransom.Blocker ini dengan engine heuristicnya (gen,heur,susp,mal dan sebagainya).
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
.jpg)
0 komentar:
Posting Komentar