ESET sebelumnya pernah membahas tentang penyebaran malware memanfaatkan berbagai macam cara termasuk diantaranya dengan exploit kit, bicara tentang distribusi melalui exploit kit, baru-baru ini telah muncul varian baru ransomware CryptoMix yang dijuluki Cryptoshield 1.0 yang menggunakan script ElTest dan exploit kit RIG untuk menyerang.
Serangan ransomware menggunakan Exploit Kit perlahan namun pasti menjadi tren di kalangan penjahat siber, terbukti dengan semakin banyaknya ransomware mulai mengadaptasi metode ini untuk serangan mereka, berikut pemaparan tentang ransomware CryptoShield 1.0.
Cara Infeksi CryptoShield 1.0
CryptoShield sedang didistribusikan melalui situs yang telah diretas atau dikompromikan sehingga ketika pengunjung masuk ke situs, mereka akan menghadapi serangan berantai dari EITest. EITest adalah kode serangan JavaScript yang disuntikkan ke situs agar dieksekusi oleh pengunjung.
Script EITest akan meluncurkan kode dari situs lain yang mengaktifkan exploit kit RIG yang lebih lanjut akan mengunduh dan menginstal ransomware CryptoShield pada komputer pengunjung.
Saat exploit kit menggunakan kerentanan dalam program diinstal untuk menginfeksi komputer, penting bahwa pengguna memastikan bahwa semua program memiliki update saat terpasang. Hal ini terutama berlaku untuk program-program yang berinteraksi dengan dokumen online atau situs. Ini berarti bahwa update untuk program-program seperti Adobe Flash & Reader, Oracle Java, dan Windows harus selalu dilakukan sebagai langkah pencegahan.
Teknik Enkripsi CryptoShield 1.0
Setelah executable ransomware diunduh dan dijalankan pada komputer korban, ia akan menghasilkan ID unik untuk korban dan kunci enkripsi. CryptoShield kemudian akan mengunggah ID unik dan kunci enkripsi private ke server command & control. Kemudian dilanjutkan dengan memindai komputer untuk file yang menjadi target dan mengenkripsi mereka.
Ketika CryptoShield bertemu file target, file tersebut akandienkripsi menggunakan enkripsi AES-256, mengenkripsi filename menggunakan ROT-13, dan kemudian menambahkan ekstensi .CRYPTOSHIELD ke file terenkripsi. Korban dapat mendekripsi filename dengan menggunakan ROT-13 encryptor, seperti rot13.com.
Di setiap folder tempat di mana ada file yang dienkripsi oleh CryptoShield akan dibuatkan ransom note bernama # RESTORING FILES #.HTML and # RESTORING FILES #.TXT.
Selama proses ini, ransomware akan mengeluarkan perintah berikut untuk menonaktifkan Windows startup recovery dan untuk menghapus Shadow Volume Copies di Windows seperti yang ditunjukkan di bawah ini.
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
“C:\Windows\System32\cmd.exe” /C net stop vss
CryptoShield kemudian akan menampilkan peringatan palsu yang menyatakan bahwa ada kesalahan aplikasi dalam Explorer.exe. Mungkin awalnya orang akan mengira ini peringatan asli, tetapi ketika membaca peringatan tersebut dengan teliti, terlihat ada kesalahan ejaan seperti “momory” dan ejaan pada permintaan aneh yang meminta mengklik tombol Yes di jendela pop up berikutnya “for restore work explorer.exe”. Bahasa Inggris yang digunakan benar-benar fatal kesalahannya.
Setelah Anda tekan OK pada jendela pop up di atas, berikut akan disajikan dengan tampilan User Account Control, yang menanyakan apakah Anda ingin mengizinkan perintah C:\Windows\SysWOW64\wbem\WMIC.exe yaitu proses panggilan buat “C:\Users\User\SmartScreen.exe untuk dijalankan. Hal ini menjelaskan mengapa peringatan sebelumnya meminta untuk mengklik yes
Setelah korban mengklik Yes, ransomware akan mulai lagi dan menampilkan ransom note # RESTORING FILES #.HTML.
Ransom note ini memuat informasi mengenai apa yang terjadi pada file korban, ID identifikasi pribadi, dan tiga alamat email yang dapat digunakan untuk menghubungi pengembang ransomware untuk petunjuk pembayaran. Alamat email tersebut yakni restoring_sup@india.com, restoring_sup@computer4u.com, dan restoring_reserve@india.com.
Tips Pencegahan
Sementara para peneliti keamanan masih berupaya membuat decryptor, ESET yang sudah berpengalaman menghadapi ransomware memiliki beberapa tips untuk mencegah dan terhindar dari serangan ransomware, selain sebagai edukasi bagi mereka yang aktif di dunia maya, yaitu sebagai berikut:
- Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
- Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
- Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
- Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus. - Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
- Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan
Sumber berita:
www.bleepingcomputer.com
