Seperti prediksi ESET tentang keamanan siber 2017, bahwa serangan ransomware akan terus datang bergelombang tanpa henti, terbukti sampai sekarang sudah banyak ransomware yang berkeliaran di alam bebas dengan berbagai keunikannya dan tentu saja berbahaya.
Seperti munculnya ransomware Spora di internet, yang mampu bekerja secara offline dan memiliki tingkat enkripsi level tinggi dengan situs pembayaran dirancang rapi dan profesional. Bisa dikatakan ransomware ini adalah yang paling canggih yang pernah ada.
Ransomware Spora didistribusikan melalui email spam yang berpura-pura menjadi faktur. Email ini datang dengan lampiran dalam bentuk file ZIP yang berisi file HTA. File HTA (HTML Application) ini menggunakan ekstensi ganda, misalnya PDF.HTA atau DOC.HTA. Pada komputer Windows di mana ekstensi file tersembunyi, pengguna hanya akan melihat ekstensi pertama dan mungkin tertipu membuka file yang sama artinya dengan memulai proses instalasi ransomware Spora.
Ketika pengguna menjalankan file HTA, file tersebut akan mengekstrak file Javascript bernama close.js ke folder %Temp%, yang selanjutnya mengekstrak executable ke folder yang sama dan mengeksekusinya. Executable ini menggunakan nama secara acak. Pada pengujian yang dijalankan, executable bernama “81063163ded.exe.” executable ini adalah encryptor utama dan akan mulai mengenkripsi file di komputer.
Selain itu, file HTA juga akan mengekstrak dan menjalankan file DOCX. File ini rusak dan akan menunjukkan kesalahan. Selain Spora ada keluarga malware lainnya menggunakan trik yang sama seperti ini, membuka file rusak untuk mengelabui pengguna agar berpikir file telah rusak selama transfer email atau operasi download agar korban tidak menyadari bahwa komputer mereka sedang dikerjai.
Tidak seperti kebanyakan keluarga ransomware, Spora bekerja offline atau tanpa membutuhkan koneksi internet sama sekali dan tidak menghasilkan traffic jaringan ke server online. Juga tidak seperti banyak ransomware yang lain, Spora tidak menargetkan file dalam jumlah besar. Versi Spora saat ini hanya mengincar file dengan ekstensi berikut:
.xls, .doc, .xlsx, .docx, .rtf, odt, .pdf, PSD, DWG, .cdr, .cd, .mdb, .1cd, .dbf, .sqlite, accdb, .jpg , .jpeg, .tiff, .zip, .rar, .7z, .backup
Proses enkripsi menargetkan file lokal dan share jaringan, dan tidak menambahkan ekstensi file tambahan pada akhir file, dan tetap meninggalkan nama file tetap utuh.
Untuk menghindari kerusakan komputer ke titik di mana ia mencegah prosedur normal boot dan operasi lainnya, Spora melewati file yang terletak di folder tertentu. Secara default, Spora tidak akan mengenkripsi file dalam folder yang berisi string berikut di nama mereka:
games
program files (x86)
program files
windows
Proses Enkripsi
Spora tidak memiliki kelemahan dalam rutinitas enkripsinya, seluruh operasi enkripsi terlihat sangat rumit. Kerumitan yang sama ditunjukan pada pembuatan file .KEY dan penciptaan kunci enkripsi yang digunakan untuk mengunci setiap file.
Untuk penciptaan file .KEY menghasilkan kunci RSA, menghasilkan kunci AES, mengenkripsi kunci RSA menggunakan kunci AES, mengenkripsi kunci AES menggunakan kunci publik tertanam dalam executable, menyimpan kedua kunci enkripsi ke file .KEY.
Untuk file data pengguna, rutinitas enkripsi yang digunakan sederhana dan cepat. Menghasilkan kunci AES, mengenkripsi kunci AES dengan kunci RSA yang dihasilkan, mengenkripsi file tersebut dengan kunci AES, menyimpan semuanya ke dalam file.
Untuk mendekripsi, Anda harus mengirim mereka file .KEY Anda. Mereka kemudian menggunakan kunci pribadi mereka untuk mendekripsi kunci AES yang digunakan untuk mengenkripsi kunci RSA yang dihasilkan dari sistem anda dan mendekripsinya.
Mereka mungkin menanamkan kunci RSA ke Decrypter mereka, dan mengirimkan kembali Decrypter tersebut. Decrypter kemudian menggunakan kunci RSA untuk mendekripsi kunci AES tertanam dalam file dan mendekripsi dengan kunci itu.
Pada akhir proses enkripsi, Spora juga menjalankan perintah CLI berikut, yang antara lain menghapus Shadow Volume Copies, menonaktifkan Windows Startup Repair, dan mengubah BootStatusPolicy.
Setelah proses enkripsi selesai, ransomware akan menampilkan ransom note dan file .KEY ke desktop pengguna dan folder lain. Ransom note ini berisi instruksi sederhana dan ID khusus untuk masing-masing korban. ID ini juga digunakan untuk nama file ransom note dalam bentuk [Infectioni-ID] .HTML.
ID infeksi dalam format CCCXX-XXXXX-XXXXX-XXXXX-XXXXX atau CCXXX-XXXXX-XXXXX-XXXXX-XXXXX, di mana CCC dan CC adalah tiga dan dua huruf kode negara, dan X adalah karakter alpha numerik.
Layanan Dekripsi Spora
Portal dekripsi Spora yang bisa diakses saat ini menggunakan domain Spora.bz, domain ini sebenarnya merupakan gateway Tor ke situs Tor tersembunyi yang tidak dipublikasikan secara terbuka. Kelompok yang berada di belakang ransomware Spora setidaknya menggunakan 10 URL untuk layanan dekripsi mereka.
Setelah pengguna mengakses situs ini, mereka harus memasukkan ID khusus yang diberikan dalam catatan tebusan mereka. Ini adalah ID login mereka untuk layanan dekripsi Spora.
Layanan dekripsi Spora adalah sesuatu yang belum pernah terlihat dalam layanan situs dekripsi ransomware lainnya. Pertama-tama, sebelum menggunakan situs ini, pengguna harus “sinkronisasi” komputer mereka dengan portal dekripsi dengan meng-upload file .KEY.
Dengan sinkronisasi file kunci, informasi yang unik tentang enkripsi dari komputer Anda kemudian di-pload ke situs pembayaran yang terkait dengan id unik Anda. Korban kemudian dapat menggunakan pilihan yang tersedia dalam situs. Segala sesuatu di portal ini tersusun dengan rapi sebagaimana sebuah dashboard website, lengkap dengan tooltips bermanfaat yang muncul ketika di atas pilihan menu tertentu.
Opsi Dekripsi
Hal unik lain dari ransomware Spora adalah opsi yang ditawarkan memiliki beberapa pilihan tergantung pada kebutuhan khusus dari korban. Opsi ini berada pada bagian MyPurchasings yang memberikan tawaran pilihan sebagai berikut:
- Mendekripsi file (saat ini $79)
- Membeli Imunitas dari infeksi Spora di masa depan (saat ini $50)
- Menghapus semua file Spora terkait setelah membayar uang tebusan (saat ini $20)
- Restore file (saat ini $ 30)
- Restore 2 file gratis
Pengaturan yang tertata rapi ini mengingatkan kita pada pembayaran situs e-commerce, dengan pilihan pembayaran yang berbeda untuk setiap pengguna. Tapi yang pasti adalah bahwa Tooltips dan sistem pembayaran modular ini adalah sesuatu yang belum pernah ada dalam layanan dekripsi ransomware lainnya sampai sekarang.
Versi portal dekripsi saat ini juga menggunakan sertifikat SSL yang dikeluarkan oleh Comodo, melindungi traffic masuk melalui HTTPS. Dan semua pembayaran Spora hanya menggunakan Bitcoin. Pengguna memasukkan Bitcoin ke rekening Spora mereka, yang kemudian dapat mereka gunakan untuk membeli salah satu pilihan yang disajikan di atas.
Spora menggunakan model enam tier untuk mengatur jenis file terenkripsi alam kategori yang berbeda. Informasi statistik tentang masing-masing kategori tersebut kemudian tertanam dalam file .KEY dan ID. Ketika korban mengunggah file ini dan melakukan sinkronisasi ke portal dekripsi, layanan Spora menunjukkan harga yang berbeda berdasarkan pada jumlah dan jenis data yang dienkripsi pada mesin korban.
Artinya pengembang malware bisa mendapatkan uang tebusan lebih banyak dari komputer milik perusahaan atau desain yang biasanya berisi file-file penting ketimbang komputer rumahan.
Portal dekripsi juga termasuk chatting widget yang memungkinkan korban untuk mengirim hingga lima pesan. Layanan dukungan ini diawaki oleh orang-orang dengan yang berpengalaman.
Target Spora
Dari hasil penelitian terhadap ID-Ransomware diketahui bahwa layanan untuk mengidentifikasi jenis ransomware yang telah menginfeksi komputer, semua upload Spora ke ID-Ransomware hari ini berasal dari pengguna di Rusia.
Selanjutnya, catatan tebusan yang didapat dari mesin uji juga hanya tersedia dalam bahasa Rusia. Email yang ditemukan terkait dengan spam Spora juga menggunakan bahasa Rusia saja.
Email Spam
Para peneliti keamanan berpendapat, ransomware Spora yang muncul baru-baru ini adalah ransomware yang dibuat bersama-sama oleh pengembang malware yang sudah berpengalaman sebelumnya dalam distribusi ransomware.
Tahun lalu, di bulan Januari dan Februari, dunia diperkenalkan kepada keluarga ransomware seperti Locky dan CERBER, yang melanda pengguna komputer di seluruh dunia selama 2016, yang membuat perusahaan keamanan kesulitan dalam memecahkan enkripsi mereka.
Kini tampaknya Spora akan mengikuti jejak pendahulunya tersebut dengan menjadi sebuah ransomware canggih dan dikelola dengan baik seperti CERBER dan Locky, dan mungkin kita akan segera melihat pengembang malware ini akan segera memperluas jajahannya dari Rusia ke negara-negara lain di seluruh dunia.
Tips Penanganan Ransomware
Bila melihat metode penyebaran serangan yang dilakukan ransomware Spora melalui spam email yang menyamar menggunakan metode social engineering yang menyamar sebagai faktur, dengan lampiran dalam bentuk file yang apabila diklik dapat mengaktifkan ransomware. Pengguna dapat mengatasi hal ini dengan memasang ESET Mail Security yang mampu memilah-milah email masuk dan mendeteksi mana email yang berbahaya dan mana yang tidak. Mail Security mampu melihat isi email tanpa menyebabkan Anda terancam bahaya, sehingga dapat melindungi perangkat Anda jauh sebelum masuk ke dalam sistem.
Sumber berita:
www.bleepingcomputer.com
www.pcrisk.com
