Hubungi Kami
  • July 30, 2025

“Menelisik NailaoLocker Ransomware ‘Cheese’: Decryption Bawaan atau Perangkap?”

FortiGuard Labs menemukan varian ransomware baru bernama NailaoLocker, yang menargetkan sistem Windows dan menggunakan kombinasi enkripsi konvensional dan fitur dekode bawaan—suatu hal yang sangat jarang dijumpai.

Pada umumnya, ransomware seperti ini menggunakan AES‑256‑CBC untuk mengenkripsi file. Namun, yang membuat NailaoLocker berbeda adalah adanya kunci SM2 (kriptografi elliptic curve asal China) yang disematkan—baik kunci publik maupun privat—serta fungsi dekode internal dalam programnya. Hal ini menimbulkan spekulasi: apakah ini benar‑benar ransomware, atau hanya semacam “perangkap” bagi korban dan peneliti? Nama “Nailao” sendiri berarti “keju” dalam bahasa Mandarin—apakah ini petunjuk niat sang pembuat ?

🧩 Penyebaran & Eksekusi

NailaoLocker dijalankan melalui teknik DLL side‑loading, terdiri dari tiga file:

  1. usysdiag.exe — executable sah yang dijadikan “trojan.”
  2. sensapi.dll — malware loader.
  3. usysdiag.exe.dat — payload ransomware terenkapsulasi.

Konsepnya: usysdiag.exe memuat DLL sensapi.dll, yang kemudian men-decrypt dan meload payload ke memori—menghindari jejak file yang jelas. Setelah dieksekusi, malware menghapus DLL loader-nya sendiri, serta membuat mutex untuk mencegah multiple execution.

⚙️ Mode Operasi: Enkripsi vs Dekripsi

Aplikasi mendeteksi mode operasi lewat pengecekan nilai hard‑coded terhadap string “XXXX”. Tidak tersedia argumen CMD, menandakan mode ini mungkin untuk keperluan pengujian internal. Setelah dua mode dipilih, program menampilkan console window dan membuat log di %ProgramData%\lock.log.

↔️ Arsitektur Multi‑Thread & IOCP

Untuk efisiensi, NailaoLocker menggunakan model multi‑threading via I/O Completion Ports (IOCP):

  • Thread utama mencari file target, memasukkannya ke queue.
  • Worker threads (minimal 8) menarik file dari queue untuk proses enkripsi atau dekripsi, sesuai mode.
  • Jumlah thread berbasis logika CPU aktif .

🔐 SM2 Key Pair & Proses Enkripsi

Uniknya, NailaoLocker menyimpan key pair SM2 (privat & publik) dalam format ASN.1 DER—bukan sekadar publik. Kunci ini diinisialisasi melalui OpenSSL dengan curve ID 0x494.

Dalam mode enkripsi:

  1. Setiap file diproteksi dengan AES‑256‑CBC (kanal simetris).
  2. AES key + IV di-generate via BCryptGenRandom().
  3. AES key & IV tersebut dienkripsi menggunakan SM2 (bukan RSA seperti umumnya).
  4. Data terenkripsi ditambahkan .locked extension.
  5. File footer menyertakan: ukuran dan nilai SM2‑terenskripsi AES key+IV, serta tag LV7.

Ini menciptakan sistem encoded payload yang lengkap dengan metadata untuk dekripsi.

🗝️ Mode Dekripsi

Jika mode adalah dekripsi, malware:

  1. Membaca file .locked, ekstraksi footer dan tag LV7.
  2. Menggunakan SM2 private key internal untuk mendekripsi AES key dan IV.
  3. Menggunakan OpenSSL untuk memulihkan file (via EVP_DecryptUpdate/Final).
  4. Mengembalikan timestamp original dan menghapus .locked.

Namun, tim FortiGuard mencatat bahwa SM2 private key bawaan gagal mendekripsi—kemungkinan ada bug atau dirancang tidak fungsional. Ketika menggunakan AES key+IV manual (dari enkripsi), dekripsi sukses. Ini menunjukkan varian ini mungkin build uji coba, bukan ransomware aktif .

📊 Tabel Teknikal NailaoLocker

Aspek Rincian
Platform Target Windows
Metode Penyebaran DLL side-loading menggunakan usysdiag.exe
Mode Operasi Enkripsi atau Dekripsi (dengan switch hard‑coded “XXXX”)
Model Eksekusi Multi‑thread via IOCP (≥8 worker)
Algoritma Simetris AES‑256‑CBC (setiap file unik key+IV)
Algoritma Asimetris SM2 (kunci privat & publik embedded)
Footer File Tag LV7, ukuran + data AES key/IV terenkripsi
Built‑in Decryptor Ada, tapi private key tidak berfungsi — diduga internal/test build
Tujuan Teknikal Investigasi apakah varian ini faktual ransomware atau eksperimen/umpan (trap)

🔍 Implikasi & Rekomendasi

  • Eksperimen Kripto SM2: Penggunaan SM2 untuk proteksi AES kunci adalah salah satu kasus pertama di ransomware.
  • Potential Test Build: Fitur dekode internal namun non-fungsi menunjukkan ini mungkin “keju” bagi pembuat/peneliti.
  • Tanda Bahaya: Keberadaan AES+IV terenkripsi tetap membahayakan jika varian yang lengkap muncul.
  • Langkah Proteksi:
    • Gunakan FortiGuard AV (signature: W64/Shadowpad.U!tr, W64/Filecoder.SZ!tr).
    • FortiEDR/XDR/Deceptor memantau perilaku, intercept enkripsi real-time.
    • Praktik terbaik: patch rutin, segmentasi, backup terenkripsi offline, pelatihan staf.

Kesimpulan

NailaoLocker menunjukkan pendekatan teknis unik lewat integrasi AES+SM2 dan built-in decryptor, namun varian ini kemungkinan adalah build uji coba—bukan ransomware penuh. Meski demikian, keberadaannya mengindikasikan potensi eksploitasi lebih lanjut dan pentingnya teknologi keamanan yang adaptif.

Fortinet sudah memperbarui proteksi (signature & behavioral) dan merekomendasikan praktik keamanan menyeluruh. Kehadiran ransomware jenis ini menegaskan perlunya kesiapsiagaan terhadap varian eksperimental yang bisa berubah menjadi ancaman nyata dalam waktu dekat.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan fortinet indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!