Jelang memasuki tahun 2017 ESET telah memprediksi bahwa tahun ini Ransomware as a Service atau RaaS akan semakin membuat semarak dunia internet, dan tanda-tanda itu semakin menjadi nyata karena sejak Januari sudah beberapa RaaS bermunculan, salah satunya yang terbaru adalah Dot Ransomware.
Portal Ransomware as a Service Dot Ransomware berada di belakang kehadiran ransomware Unlock26 yang ditemukan di minggu lalu. Berdasarkan dua pesan yang ditinggalkan pada homepage Dot Ransomware mengungkapkan bahwa seluruh operasi diluncurkan pada hari Selasa, 19 Februari saat website didirikan.
Saat ditemukan dua hari yang lalu, operasi ransomware ini terbilang cukup unik seperti fiturnya yang sangat minimalis dan langsung. Dengan sedikit instruksi dan desain ransom note yang sederhana seperti halnya dengan portal pembayaran uang tebusan mereka.
Siapa pun yang mendaftar pada layanan portal Dot Ransomware dapat mengunduh dua file, satu berjudul core.exe, yang merupakan payload ransomware berbahaya, sementara yang kedua adalah builder.zip, sebuah arsip berisi petunjuk penggunaan dan builder.
Builder merupakan tool CLI yang memungkinkan pengguna untuk dapat menyesuaikan dengan opsi-opsi di bawah:
- Harga dekripsi ransomware.
- Harga dekripsi khusus per negara.
- Ekstensi target untuk enkripsi.
- Jenis enkripsi (full atau 4MB pertama dari setiap file).
- Alamat Bitcoin untuk mengirim 50% jatah pelaksana.
Menurut file instruksi builder, pengguna harus memuat file core.exe di builder, yang kemudian akan menambal file dengan pengaturan kustom pengguna, dan menghasilkan binary yang siap untuk didistribusi.
Sementara untuk metode penyebaran pengguna Dot Ransomware semua diserahkan kepada pelaksana di lapangan, jadi kemungkinan pelaku bisa saja menggunakan malvertising, spam, atau infeksi manual setelah melakukan brute force koneksi RDP.
Proses Infeksi Unlock26
Ransomware Unlock26 baru akan mengenkripsi file pengguna berdasarkan pada file konfigurasi internal dan menambahkan setiap file terkunci dengan ekstensi .locked- [XXX], di mana XXX merupakan tiga karakter acak alpha-numerik yang unik untuk setiap korban.
Tahap terakhir dalam proses infeksi adalah menunjukkan catatan tebusan yang sederhana dan to the point, mendesak pengguna untuk mengakses salah satu dari empat URL proxy Tor.
Link dalam ransom note Unlock26 juga menyembunyikan signature yang memungkinkan penjahat untuk membedakan antara host yang terinfeksi.
Ini berarti Anda harus mengklik pada link dari ransom note itu sendiri. Mengetik URL secara manual di browser tidak akan membuat Anda mengakses situs pembayaran, karena ada kode yang memeriksa kehadiran signature tersebut. Kami menduga signature yang paling mungkin digunakan untuk menampilkan alamat Bitcoin yang unik untuk setiap pengguna mengakses situs pembayaran.
Begitu mengakses situs pembayaran Unlock26 kita menemukan gaya sederhana yang tidak memiliki instruksi yang berarti sama sekali. Sepertinya pengembang ransomware mengharapkan semua orang tahu apa yang harus dilakukan, seolah-olah semua orang yang terinfeksi dengan ransomware, semuanya pengguna PC punya pengetahuan tentang siber sehingga tahu persis apa yang harus dilakukan selanjutnya .
Unlock26 Masih Tahap Pengembangan
Tapi petunjuk pengguna bukan satu-satunya hal yang hilang dari Dot-Ransomware dan Unlock26. Pengguna yang ingin membayar bahkan tidak tahu jumlah Bitcoin yang harus mereka kirim, karena situs pembayaran Unlock26 tidak mencantumkan harga dekripsi, tetapi menunjukkan fungsi matematika 6.e-002 BTC. Ini aneh, kecuali jika pelaku tidak ingin orang untuk membayar uang tebusan.
Melihat dengan detil setiap kesalahan seperti salah satunya terlihat pada builder, dan dengan kenyataan bahwa tidak ada seorang pengguna pun melaporkan infeksi Unlock26, kita dapat mengatakan bahwa ransomware dan Raas ini masih dalam tahap pengembangan, dan belum siap untuk digunakan.
Sumber berita:
https://www.bleepingcomputer.com
