IND | ENG
Decryptor Ransomware LooCipher Dirilis Periset Italia

Ilustrasi

Decryptor Ransomware LooCipher Dirilis Periset Italia
Zuhri Mahrus Diposting : Sabtu, 13 Juli 2019 - 19:18 WIB

Roma, Cyberthreat.id - Perusahaan keamanan siber asal Italia, Yoroi-Cybaze Zlab, berhasil membuat decryptor untuk ransomware LooCipher. Syaratnya, komputer belum di-restart dan LooChipher masih aktif. Artinya, decryptor ini mungkin tidak bisa memulihkan file korban yang terinfeksi sejak lama karena pasti sudah me-restart komputernya. Namun decryptor ini bisa menjadi pertolongan pertama bagi korban atau calon korban berikutnya.

Decryptor LooCipher bisa diunduh dari Github: https://github.com/ZLab-Cybaze-Yoroi/LooCipher_Decryption_Tool

Malware yang bunyi namanya mirip "Lucifer" ini baru aktif bulan lalu dan menyebar dengan cepat. Berbeda dengan ransomware lain, LooCipher menjadikan file .doc dari Microsoft Word, sebagai jalan masuk ke komputer korban. File tersebut akan meminta Anda mengizinkan macro untuk melihat isinya. Jika korban mengizinkannya, kode macro akan mengunduh LooCipher akan beraksi  dan mengunci file dengan ekstensi .lcphr. 

Menurut analisis perusahaan keamanan siber, Fortinet, LooCipher menggunakan algoritma AES-128 ECB dengan kunci 16-bytes untuk mengenkripsi file korban. Kunci yang disamarkan ini dikirimkan ke server command and control (C&C) yang dikelola hacker melalui http request (lihat parameter GET "k" dalam gambar).

Berdasarkan riset Fortinet itu, Yoroi-Cybaze Zlab yakin bahwa mendapatkan kunci ini akan membuka jalan untuk memulihkan file yang dienkripsi LooCipher. Caranya? Pendekatan pertama adalah mencegat kunci itu saat dikirimkan ke C&C. Ini akan sangat sulit karena kunci tersebut hanya dikirimkan 1 kali. Cara yang kedua adalah mengeskplorasi memori saat LooCipher diproses setelah selesai mengenkripsi. Seluruh data yang digunakan untuk mengubungi server C&C masih tersimpan di memori komputer, termasuk kunci enkripsi.

Yoroi-Cybaze Zlab membuat decryptor dengan pendekatan yang kedua. Karena itulah, decryptor ini mensyaratkan:
- Komputer belum direstart setelah infeksi LooCipher
- LooCipher masih aktif (belum disingkirkan antimalware).

Detail analisis LooCipher bisa dibaca di : https://blog.yoroi.company/research/loocipher-the-new-infernal-ransomware/

#loocipher   #ransomware   #decryptor   #malware

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
CHAVECLOAK, Trojan Perbankan Terbaru
Phobos Ransomware Agresif Targetkan Infrastruktur Kritis AS
Paket PyPI Tidak Aktif Disusupi untuk Menyebarkan Malware Nova Sentinel