Digitalmania – Sebuah ransomware kembali ditemukan oleh @abuse.ch dan dianalisa lebih lanjut oleh MalwareHunterTeam dan disebut sebagai PadCrypt yang untuk pertama kalinya memiliki fitur live support chat dan uninstaller untuk korban. CryptoWall adalah ransomware pertama yang menyediakan “layanan konsumen” pada situs pembayaran mereka, tetapi PadCrypt menggunakan live chat yang memungkinkan korban berinteraksi dengan pengembang malware secara real time. Fitur seperti ini kemungkinan bisa meningkatkan jumlah uang tebusan karena korban mendapat “support” dan dipandu melalui proses yang membingungkan untuk melakukan pembayaran.
Dengan hadirnya PadCrypt, dunia dibawa ke tingkatan terbaru metode pembayaran ransomware oleh pengembang malware dengan menyajikan live chat.
Jika user mengklik pada opsi Live Chat, maka akan membuka layar baru yang bisa digunakan korban untuk mengirim pesan kepada pelaku. Ketika pelaku merespon, jawaban mereka akan tertera di layar yang sama.
Sampai disini, server Command & Control untuk PadCrypt offline, sehingga ransomware tidak akan mengenkripsi apapun meskipun ia menunjukkan pada Anda ransomware screen. Lebih lanjut, karena live chat membutuhkan server C2 aktif, maka fungsi live chat tidak bisa digunakan.
PadCrypt Memudahkan Penghapusan Infeksi
Bagi mereka yang ingin menghapus infeksi, PadCrypt memberikan kemudahan dengan mengunduh dan menginstal uninstaller. Kami baru kali ini melihat ransomware yang memungkinkan Anda mengaktifkan dan menonaktifkan autorun untuk itu. Tetapi ini yang pertama kali kami melihat ransomware yang menyediakan program uninstaller juga. Ketika PadCrypt diinstal, uninstaller akan juga didownload dan diinstal di %AppData%\PadCrypt\unistl.exe. Setelah uninstaller di ekesekusi, ia akan menghapus semua ransom note dan file yang terkait dengan infeksi PadCrypt. Tapi sayangnya semua files yang dienkripsi akan tetap seperti itu.
Pengembang Ransomware Memuja CryptoWall
Ada sesuatu pada CryptoWall yang membuat pengembang ransomware lain senang untuk menirunya. Seperti halnya PadCrypt bagaimana “executable” nya memiliki banyak referensi dari CryptoWall didalamnya.
Disana juga ada banyak referensi CryptoWall dalam C# project untuk ransomware ini. Misalnya, salah satu namespace untuk ransomware disebut Cryptowall.
Proses Enkripsi PadCrypt
PadCrypt didistribusikan melalui SPAM yang berisi link ke arsip zip, berisi file yang nampak seperti PDF dengan nama DPD_11394029384.pdf.scr. File PDF ini meskipun sebenarnya file executable yang berganti nama menjadi ekstension scr, yang ketika dijalankan mendownload paket file .pdcr dan unistl.pdcr dari server Command & Control. Server C2 yang dikenal digunakan oleh ransomware ini termasuk annaflowersweb.com, subzone3.2fh.co, and cloudnet.online. Paket .pdcr adalah PadCrypt executable dan uninstl.pdcr adalah uninstaller nya, kedua file tersebut akan disimpan dalam %AppData%\PadCrypt folder.
Ketika PadCrypt mengenkripsi file, ia akan mengenkripsi file data, terlepas apa ekstensinya, yang berada di folder yang menjadi target. Ketika mengenkripsi file korban dimulai dengan scanning dan enkripsi folder tersebut.
Setelah selesai mengenkripsi folder itu, ransomware akan memindai drive C: dan mengenkripsi semua file yang tidak terletak di folder atau mengandung string ProgramData, PerfLogs, Config.Msi, and $Recyle.Bin.
Akhirnya PadCrypt akan menghitung semua semua local drive dan enkripsi file apa saja yang terdeteksi. Selama proses enkripsi, PadCrypt juga akan menghapus Shaddow Volume Copies pada komputer dengan mengeksekusi perintah berikut:
Usai mengenkripsi data, ia akan membuat file IMPORTANT READ ME.txt di desktop yang berisi petunjuk tebusan. Dan akhirnya ransom screen akan ditampilkan.
Ransom screen ini akan memberikan petunjuk bagaimana cara pembayaran 0.8 bitcoin atau 350 dolar via PaySafeCard atau Ukash. Dalam petunjuk itu juga memberi peringatan bahwa Anda memiliki 96 jam untuk melakukan pembayaran atau kunci dekripsi akan hancur. Digitalmania. (VA)