Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Teknologi
  • Ransomware RanRan dan Kaitan Politik
  • Teknologi

Ransomware RanRan dan Kaitan Politik

3 min read

Credit image: Pixabay

Ransomware memang pelik, para pengembangnya terus mengulik untuk dapat menyempurnakan teknik, hal ini terlihat pada sebuah ransomware baru yang mengkombinasikan banyak fitur unik seperti statmen politik, tingkatan enkripsi dan penciptaan subdomain publik .

Ransomware RanRan demikian namanya, untuk saat ini hanya menginfeksi sebuah negara di Timur Tengah. Para peneliti keamanan tertarik dengan ancaman ini dengan implikasi politik untuk masing-masing korban terinfeksi, yang harus membuat pernyataan politik.

Mematikan Proses Database

Metode distribusi saat ini masih belum diketahui, tetapi ketika korban menjalankan ransomware untuk pertama kalinya, ia memeriksa mutex (Services1.0). Jika sudah ada, RanRan menentukan bahwa ia sudah menginfeksi PC dan menghentikan pelaksanaannya.

Ransomware terus konsisten meskipun melalui booting berkali-kali dengan cara decoding base64 string hardcoded. Value base64 string ini adalah kunci registri baru, yang menggunakan RanRan untuk meluncurkan binary, yang terletak di C:\services.exe.

Sebelum memulai proses enkripsi, ransomware menutup serangkaian proses dalam PC, di mana sebagian besar milik server database. RanRan juga memantau proses ini secara berkala dan mencegah mereka untuk dapat aktif kembali. Demikian pula, memonitor dan menutup setiap jendela desktop yang berisi “task manager.”

Tingkatan Enkripsi

Fitur Ransomware RanRan satu ini memang unik, kemampuan mengenkripsi sebuah ransomware biasanya bergantung pada ukuran file terenkripsi, dan RanRan menggunakan delapan tingkatan enkripsi:

  • 0 – 5 MB
  • 5 – 30 MB
  • 30 – 100 MB
  • 100 – 300 MB
  • 300 – 700 MB
  • 700 – 2000 MB
  • 2000 – 3000 MB
  • 3000 MB and lebih besar

Peneliti menggambarkan proses enkripsi RanRan sebagai berikut:
Pengembang RanRan memasok RSA kunci publik di C:\pubkey location. Jika kunci publik tidak diberikan, Ranran akan mengenkripsi file menggunakan hash md5 dari string “aaoy09aaqqq @ # 433dd56fdfdf $ Fss45 * ss”.

Jika tidak, string acak ditulis ke sebuah file bernama ‘C:\WINDOWS\pass’. MD5 dari string ini digunakan sebagai password RC4. Sebuah password baru yang dihasilkan untuk delapan kelompok file.

Setelah sukses mengenkripsi, kunci akan digunakan pada kelompok tertentu yang dienkripsi menggunakan kunci publik RSA tersedia dan menulisnya ke sebuah file yang menggunakan nama seperti notasi berikut: VictemKey_ [lower_bound] _ [upper_bound]

Ini berarti bahwa setelah enkripsi berakhir, korban akan melihat delapan file berikut di komputer mereka:

  • VictemKey_0_5
  • VictemKey_5_30
  • VictemKey_30_100
  • VictemKey_100_300
  • VictemKey_300_700
  • VictemKey_700_2000
  • VictemKey_2000_3000
  • VictemKey_3000

Sama seperti kebanyakan strain ransomware, RanRan juga menambahkan ekstensi pada akhir semua file dienkripsi. Ekstensi ini adalah .zXz.

Pesan politik dari Ransom Note RanRan

Bagian yang paling menarik adalah Ransom Note. Ini disimpan dalam sebuah file bernama zXz.html dan terlihat sederhana dalam desain, dengan banyak kesalahan bahasa Inggris.

Alih-alih meminta korban untuk mengunjungi situs atau melakukan pembayaran ke alamat Bitcoin, RanRan meminta korban untuk membuat subdomain di website mereka, di mana mereka harus meng-upload sebuah file bernama ransomware.txt berisi alamat email mereka. Perilaku RanRan jelas kebalikan dari kebanyakan keluarga ransomware yang meminta korban untuk menghubungi operator ransomware, bukan sebaliknya.

Selanjutnya, pengembang Ransomware Ranran memanfaatkan ransomware untuk menyampaikan pesan politik. Mereka melakukan hal ini dengan meminta korban untuk membuat subdomain di situs web mereka menggunakan istilah yang menghasut kekerasan terhadap pemimpin politik utama negara itu.

Saat ini, serangan dengan RanRan hanya terlihat di Arab Saudi. Selain itu, menurut sebuah informasi, ada serangan kedua dengan RanRan terhadap target di Filipina pada awal tahun ini.

Kelemahan RanRan

Meskipun metode ini terbilang cukup inovatif, Pengembang malware RanRan telah membuat beberapa kesalahan saat menyusun proses enkripsi. Kemudian diketahui juga bahwa ransomware mereka menggunakan kode enkripsi copy-paste dari GitHub.

Kelemahan RanRan akibat beberapa kesalahan yang dibuat pengembangnya mencegah ransomware menghapus file asli dalam beberapa situasi, yang memungkinkan peneliti untuk membandingkan dua versi dari file yang sama dan memecahkan skema enkripsi.

Sumber berita:

https://www.bleepingcomputer.com

Tags: ESET deteksi Ransomware Ransomware

Post navigation

Previous Curi Kredensial CC Betaling Meniru Google Chrome
Next Dendam, Pengembang Malware Serang Layanan Ransomware

artikel terkini

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
Waspada Thread Hijacking Waspada Threa

Waspada Thread Hijacking

July 16, 2026
RedHook Manfaatkan Wireless ADB Infeksi Android RedHook Manfaatkan Wireless ADB Infeksi Android

RedHook Manfaatkan Wireless ADB Infeksi Android

July 15, 2026
Malware Baru yang Mengincar Pengguna macOS Malware Baru yang Mengincar Pengguna macOS

Malware Baru yang Mengincar Pengguna macOS

July 15, 2026
Alasan BEC Sangat Berbahaya Alasan BEC Sangat Berbahaya

Alasan BEC Sangat Berbahaya

July 15, 2026

Lainnya

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja
5 min read
  • Sektor Bisnis
  • Sektor Personal

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase
4 min read
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI
4 min read
  • Sektor Bisnis
  • Sektor Personal

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data
3 min read
  • Sektor Bisnis
  • Sektor Personal

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
PROSPERITA IT News | DarkNews by AF themes.