Crypton dan Malware Dropper

Beberapa bulan belakangan VirusTotal kebanjiran invasi dari keluarga ransomware berbasis NET yang menguji kemampuannya menghindari deteksi, dan dari sekian banyak yang melakukan ujicoba sebagian besar gagal karena pengkodean yang buruk.

Dari begitu banyak invasi ransomware, ada sebuah pengecualian untuk sebuah keluarga ransomware baru yang bernama Crypton, mirip nama planet superhero rekaan DC Comic, Superman. Dibanding ransomware NET lainnya, Crypton memiliki kompleksitas tersendiri yang jauh berbeda dari yang lainnya.

Crypton Gunakan Malware Dropper

Penyebaran ransomware Crypton masih diteliti lebih jauh bagaimana pengembang malware melakukannya, tetapi sejauh ini Crypton diketahui menginfeksi komputer melalui malware dropper, yaitu semacam inang yang membawa malware untuk disebar, biasanya melalui spam atau malvertising.

Setelah berhasil menyusup ke dalam komputer korban, malware dropper akan membongkar paket dan menginstal Crypton dari file yang disebut crypton.exe. Binary dari dropper dan ransomware memiliki tingkat deteksi yang sangat rendah.

Selama masa instalasi, Crypton akan mengubah Registry Windows untuk terus dapat bertahan setiap kali komputer di booting.

Enkripsi Crypton

Ransomware Crypton mengenkripsi file menggunakan kunci enkripsi ganda AES dan RSA, skema ini untuk menyulitkan peneliti keamanan untuk memperoleh kunci dekripsi.

Penggunaan kunci enkripsi AES untuk mengenkripsi sangat umum digunakan oleh banyak ransomware, namun menjadi bertambah komplek saat AES dan IV dienkripsi dengan kunci publik RSA. Setelah itu server Command & Control ransomware menyimpan kunci rahasia RSA. Kunci ini yang nanti digunakan untuk membuka file terenkripsi.

Crypton mencari dan mengenkripsi file-file berikut:

.xlsx, .cdr, .xls, .vsd, .docx, .doc, .jpg, .pdf, .xml, .dat, .psd, .cd, .txt, .tbb, tbn, .db, .dbx, .pst, .ppt, .pptx, .png, .tiff, .rtf, .htm, .html, .mht, .zip, .rar, .7z, .dbf, .mdb

Saat file berhasil dienkripsi oleh Crypton, di belakang file terenkripsi ditambahkan ekstensi “_crypt” misalnya file coba.jpg berubah menjadi coba_crypt.

Karena ransomware mengambil alih root dalam sistem, ia akan ping terus menerus ke server C & C mengabarkan kepada penjahat siber bahwa tugas enkripi telah selesai dikerjakan.

Setelah enkripsi berakhir, ransomware menunjukkan ransom note berikut, menggunakan dua bahasa, Inggris atau Rusia, tergantung pada bahasa PC pengguna. Dalam ransom note, Crypton meminta uang tebusan mulai 0,2-2 Bitcoin.

Anehnya, beberapa hari terakhir server Command & Control Crypton tanpa sebab yang jelas dimatikan dengan sengaja. Apabila coba mengakses URL server hanya memunculkan gambar dan kutipan Oscar Wilde. Tampilan ini sekarang sudha menghilang dan menyajikan 404 page.

Meskipun server C & C ransomware Crypton sudah dimatikan, Crypton sendiri masih dicarikan formula penangkalnya oleh para peneliti keamanan, karena ditakutkan jika suatu hari pengembang malware kembali mengaktifkan server mereka dan kembali beraksi bisa jadi serangan Crypton semakin ganas.

Untuk sementara para peneliti di ESET menyarankan agar para pengguna komputer berhati-hati terhadap malvertising, dengan tidak mengklik iklan-iklan secara sembarangan.

Sumber berita:

http://www.bleepingcomputer.com
https://www.pcrisk.com