Kabar dari dunia siber memang tidaklah selalu mengenakkan apalagi serangan malware terus menerus membombardir internet, tak ada hari tanpa malware menuntut kita untuk harus terus waspada dan terus mengikuti perkembangan, seperti yang baru muncul baru-baru ini, sebuah ransomware yang dijuluki Dyna-Crypt.
Ransomware Dyna-Crypt tidak hanya mengenkripsi data, tetapi juga mencoba untuk mencuri semua informasi dari komputer korban. Enkripsi dan mencuri data adalah hal yang umum ditemui pada malware. Tetapi kombinasi keduanya, itulah yang membuat Dyna-Crypt jadi menakutkan.
Dan yang menambah permasalahan adalah bahwa ransomware ini terdiri dari banyak executable mandiri dan skrip PowerShell, membuat perilaku ini sangat tidak umum untuk sebuah ransomware. Selain mengenkripsi file korban saat mencuri password dan kontak, tetapi juga menghapus file tanpa mem-back up sama sekali, ini jelas menjadi petaka bagi korban.
Mencuri dan Menghapus Data
Program ini diciptakan oleh toolkit penciptaan malware yang memungkinkan siapa pun untuk membuat malware mereka sendiri bahkan oleh mereka yang masih hijau. Ini artinya kit tersebut mudah bagi seseorang untuk membuat malware bekerja, itu juga berarti bahwa seseorang yang dengan pengetahuan pas pasan mampu membuat sebuah malware, dan kasus ini sepertinya terjadi pada Dyna-Crypt.
Sementara bagian ransomware Dyna-Crypt, seperti yang dijelaskan di bagian selanjutnya, adalah rasa sakit, masalah sebenarnya adalah jumlah data dan informasi program ini mencuri dari komputer. Sementara berjalan, DYNA-Crypt akan mengambil screenshot dari desktop aktif Anda, sistem merekam suara dari komputer Anda, log perintah Anda mengetik pada keyboard, dan mencuri data dari berbagai program yang diinstal.
Screenshots
Skype
Steam
Chrome
Thunderbird
Minecraft
TeamSpeak
Firefox
Recordings of system audio
Ketika mencuri data, ia akan menyalinnya ke dalam sebuah folder bernama %LocalAppData%\dyna\looyt\, dan sebelum dikirim ke pengembang malware, semua data akan di zip ke dalam file %LocalAppData%\loot. zip, dan di email ke pengembang.
Masalahnya ransomware Dyna-Crypt setelah puas mencuri data dari dalam komputer, ia kemudian langsung menghapus setiap file yang dicurinya, sehingga satu-satunya cara bagi korban untuk mendapatkannya kembali adalah menghubungi pengembang, itu pun tanpa jaminan data tersebut tidak digandakan di tempat lain atau diperjualbelikan. Dan yang lebih buruk lagi dimanfaatkan untuk memeras korban. Tetapi yang lebih buruk, mereka juga menghapus seluruh hal di desktop walaupun tidak ada satu hal pun yang mereka curi dari sana, dan tentu ini bisa membawa petaka bagi pemiliknya dan seharusnya tak perlu dilakukan, apalagi mereka sudah berhasil menguasai komputer korban jadi tidak alasan untuk menghapus apa pun di dalamnya, jelas pembuat malware ini sangat amatiran.
Enkripsi Dyna-Crypt
Sebagian dari ransomware Dyna-Crypt dibentuk menggunakan skrip PowerShell yang menggunakan program mandiri yang disebut AES berfungsi untuk data korban. Skrip ini memindai komputer untuk mencari file yang menjadi target untuk dienkripsi, berikut ekstensi file yang menjadi sasaran:
.jpg, .jpeg, .docx, .doc, .xlsx, .xls, .ppt, .pdf, .mp4, .mp3, .mov, .mkv, .png, .pst, .odt, .avi, .pptx, .msg, .rar, .mdb, .zip, .m4a, .csv, .001
Ketika mengenkripsi file Dyna-Crypt akan menambahkan ekstensi .crypt untuk nama file terenkripsi. Misalnya sebuah file bernama coba.jpg akan dienkripsi dan diganti sebagai coba.jpg.crypt. kemudian ransomware juga akan menghapus Shadow Volume Copies di komputer sehingga korban tidak punya kesempatan untuk memulihkan file.
Saat mulai mengenkripsi komputer, Dyna-Crypt tampilkan layar kunci meminta korban untuk membayar $50 USD atau setara 700 ribu rupiah dalam Bitcoins ke alamat bitcoin tertutup. Namun demikian sampai saat ini korban masih belum ada yang mau membayar uang tebusan, tindakan yang patut diacungi jempol.
Sumber berita:
www.bleepingcomputer.com
