Ransomware Enciphered, Ransomware as a Service

March, 22 2016 13:13
Internet

Digitalmania – Ransomware as a Service (RaaS) adalah rancang bangun modul serangan malware yang secara tidak sengaja mengorganisir orang-orang melakukan tindak kejahatan cyber memanfaatkan ransomware yang bisa dibuat sendiri seperti yang diinginkan. Tergiur mendapatkan uang mudah menjadi godaan bagi siapa saja, sehingga motif kejahatan ekonomi selalu terdepan terutama bagi mereka yang baru memasuki dunia kiminal, melalui ransomware mereka mampu melakukan serangan secara masif tanpa komando, seperti yang ditunjukkan oleh salah satu ransomware, yaitu EnCiPhErEd dengan builder sederhana dan mudah dipakai.

EnCiPhErEd berasal dari keluarga ransomware Xorist mulai sering terlihat dan aktif menyerang, Keluarga ini menginfeksi komputer menggunakan builder yang membantu malware distributor dengan mudah menciptakan versi ransomware mereka sendiri. Masalahnya file ekstensi yang dienkripsi, file yang menjadi target dan pesan ransom note bisa disesuaikan sehingga semakin membuat sulit korban dalam menemukan bantuan yang tepat untuk mengatasi ransomware yang menyerang. EnCiPhErEd mengenkripsi data dengan XOR atau TEA encryption.

Membangun Ransomware Sendiri

Membuat sendiri ransomware Xorist executable sangat mudah selama memiliki builder nya. Builder ini disebut Encoder Builder v.24 dari [Pastorok], kemungkinan besar dibeli cybercriminal dari forum malware dan exploit di darkweb. Setelah seseorang memiliki builder, mereka dengan mudah bisa menjalankannya dan memilih opsi sesuai yang mereka ingin gunakan dalam versi ransomware mereka. Usai mengkonfigurasi dengan benar, tinggal klik sebuah tombol maka executable ransomware tercipta. Sekarang tinggal bagaimana builder mencari jalan bagaimana mendistribusikannya.

Dari penjelasan diatas, bisa dibayangkan bagaimana membuat ransomware menggunakan builder merupakan praktik yang mudah untuk semua orang. Hanya memilih dari beberapa opsi yang ingin digunakan dan klik tombol. Builder kemudian akan meminta kemana menyimpan executable dan kemudian builder bisa mendistribusikannya.

Secara default, builder mengkonfigurasi dengan pesan standar ransom note, dimana korban diperintahkan untuk mengirim pesan SMS berisi ID khusus nomer yang ditunjuk. Karena setiap ransomware ini memanfaatkan password yang sama untuk setiap korban, pengembang malware menggunakan ID untuk menentukan password apa yang akan dikirim ke korban setelah pembayaran dilakukan.

Korban kemudian mengambil password dan memasukkannya kedalam prompt ransomware, andai benar, ransomware akan mendekripsi file yang terenkripsi.

Secara default enkripsi yang digunakan untuk varian ini adalah TEA, passwordnya 4kuxF2j6JU4i18KGbEYLyK2d, dan file ekstensi enkripsi adalah .EnCiPhErEd. Default untuk ransom note, HOW TO DECRYPT FILES.txt.

Ekstensi yang menjadi target oleh ransomware, yaitu:

*.zip, *.rar, *.7z, *.tar, *.gzip, *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.bmp, *.gif, *.png, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.txt, *.pdf, *.djvu, *.htm, *.html, *.mdb, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.1cd, *.md, *.mdf, *.dbf, *.odt, *.vob, *.ifo, *.lnk, *.torrent, *.mov, *.m2v, *.3gp, *.mpeg, *.mpg, *.flv, *.avi, *.mp4, *.wmv, *.divx, *.mkv, *.mp3, *.wav, *.flac, *.ape, *.wma, *.ac3

Fitur yang bisa disesuaikan dalam builder meliputi:

  • Ransom note text
  • Encrypted file extension
  • Targeted File Extensions
  • Amount of password attempts per running of the infection
  • Whether to display a messagebox after the infection has encrypted the victim’s files.
  • The encryption algorithm (TEA or XOR)
  • The decryption password.
  • The icon to use for the malware executable.
  • Whether to change the wallpaper
  • If it should start automatically
  • Whether it should generate ransom notes in each folder
  • If it should be packed with UPX.

Mayoritas infeksi yang disebabkan ransomware Xorist tidaklah serumit yang dibayangkan. Masalah utamanya adalah builder yang digunakan bisa dimanfaatkan oleh siapa saja dengan menjadi distributor untuk mencoba mendapatkan uang tunai dalam pasar ransomware yang luas ini.

File yang ditambahkan oleh Xorist

  • %Temp%\[random].exe
  • %UserProfile%\Desktop\HOW TO DECRYPT FILES.txt

Awan gelap tidak selamanya mampu menaungi langit dunia TI, sinar terang pasti akan mucul dan mencari jalan bagi mereka yang berada dalam kegelapan, seperti halnya dengan ransomware EnCiPhErEd yang datang membawa kekelaman, namun dapat dipupus dengan terciptanya decrypter yang mampu meredam bahkan menaklukan varian keluarga ransomware Xorist itu. Jadi tidak ada alasan bagi pengguna internet untuk merasa kuatir, meski demikian kewaspadaan masih harus terus dipupuk untuk menghindari atau mencegah datangnya bala. Digitalmania. (VA)

DigitalmaniaEncipheredESETinternetRaaSRansomware

Related Posts

April, 05 2024 11:36 Malware Disembunyikan Dalam Gambar
April, 01 2024 11:34 Anak Aman Berinternet dengan Komunikasi
March, 13 2024 11:01 Penipuan Online Paling Berbahaya
March, 28 2024 11:17 Manipulasi Digital Document Publishing
April, 04 2024 10:57 Serangan SMS di Android
March, 18 2024 13:49 Tipuan DocuSign Malware Perbankan
April, 03 2024 11:04 Insiden Siber Paling Mematikan Di Dunia
April, 17 2024 13:48 Kenapa Penjahat Siber Menargetkan Informasi Pribad...
March, 19 2024 11:57 Berbagi File dengan Aman
March, 14 2024 10:46 Salah Persepsi Ancaman Siber
March, 15 2024 11:05 Kebocoran Data dan Pelanggaran Data
March, 21 2024 13:33 Smartphone: Antisipasi Malware dan Pelacakan
March, 22 2024 16:35 APT28 Menyebar Phising Secara Global
April, 02 2024 11:40 Darcula Memakan Korban 100 Negara
March, 20 2024 11:31 Bahaya Siber Smartphone
March, 26 2024 15:13 Operasi Phising PhantomBlu
April, 15 2024 14:37 Mitigasi Serangan Phising
March, 25 2024 16:01 Risiko Keamanan Aplikasi Kesehatan
March, 27 2024 11:18 Aplikasi Palsu Penguras Dompet
April, 16 2024 11:26 Perlukah Menggunakan Kata Sandi