Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ekstensi Varian Baru CryptoMix Membingungkan Korban
  • Teknologi

Ekstensi Varian Baru CryptoMix Membingungkan Korban

4 min read

Credit image: Pixabay

Varian baru CryptoMix atau CryptFile2, yang baru saja dirilis menggunakan ekstensi [Payment_email] .ID [VICTIM_16_CHAR_ID] .WALLET untuk file terenkripsi. Membuat korban lebih sulit untuk dengan mudah mengidentifikasi ransomware apa yang menginfeksi mereka saat melakukan pencarian di web.

Hal ini disebabkan karena ekstensi .WALLET telah digunakan oleh Dharma/Crysis, Sanction, dan sekarang oleh CryptoMix. Saat ini alamat email pembayaran adalah shield0@usa.com, Admin@hoist.desi, dan crysis@life.com.

Varian yang baru ditemukan ini sedang diidentifikasi melalui penelitian yang mendalam berdasar sampel yang didapat untuk melihat apakah varian CryptoMix mengalami perubahan setelah varian Revenge terakhir kali dilepas.

Cara Enkripsi

Karena ransomware ini menggunakan ekstensi .Wallet di belakang setiap nama file yang usai dienkripsi, para peneliti memberi nama malware ini dengan nama ransomware Wallet.

Meskipun masih belum diketahui secara pasti bagaimana ransomware Wallet didistribusikan,ada kemungkinan penyebaran ransom malware berbahaya ini masih menggunakan cara konvensional yaitu spam email yang kerap dijadikan metode utama kebanyakan ransomware.

Begitu executable dijalankan, ia akan menghasilkan 16 heksadesimal ID korban dan kunci enkripsi pada komputer dan kemudian mengirim informasi ini kembali ke server Command & Center.

Wallet kemudian mulai melakukan pemindaian pada komputer mencari file untuk dienkripsi. Tidak seperti kebanyakan infeksi ransomware dan versi sebelumnya yaitu Revenge. Versi ini tidak mencari ekstensi secara spesifik tetapi mengenkripsi setiap file yang dideteksi selama tidak berada dalam folder tertentu, sebagai berikut:

WINDOWS, PACKAGES, COOKIES, PROGRAMDATA, MICROSOFT, BOOT, APPLICATION DATA, WINNT, INETCACHE, NVIDIA, SYSTEM VOLUME INFORMATION, $RECYCLE.BIN, TEMP, PROGRAM FILES, PROGRAM FILES (X86), CACHE, TEMPORARY INTERNET FILES, WEBCACHE, and APPDATA

Ketika Wallet mengenkripsi file, ia akan menggunakan enkripsi AES dan kemudian mengganti nama file terenkripsi. Saat mengganti nama file, Wallet menggunakan ROT-13 pada nama file yang asli dan menambahkan ekstensi .[SHIELD0@USA.COM].ID[VICTIM_16_CHAR_ID].WALLET atau [admin@hoist.desi].ID[VICTIM_16_CHAR_ID].WALLET, atau [crysis@life.com].ID[VICTIM_16_CHAR_ID].WALLET, tergantung pada variannya pada nama file yang dienkripsi.

Sebagai contoh, sebuah file bernama coba.jpg akan dienkripsi dan diganti namanya menjadi grfg.wct. [SHIELD0@USA.COM] .ID [1111111111111111] .WALLET.
Di setiap folder di mana Wallet mengenkripsi file, ia juga akan menciptakan ransom note bernama #_RESTORING_FILES_#.TXT. Tidak seperti versi lawas dari CryptoMix, varian ini tidak membuat ransom note versi HTML.

Wallet kemudian akan menampilkan peringatan palsu yang menyatakan:
The instruction at 0xe9c71f6c referenced memory at 0x00000000C. The memory could not be read.

Click on Yes in the next window for restore work explorer.exe.
Seperti peringatan palsu dalam Revenge, penggunaan bahasa Inggris yang janggal pada ransom note Wallet seharusnya cukup menjadi indikasi atau isyarat kepada korban bahwa peringatan ini tidak sah.

Saat korban menekan tombol OK, ransomware akan menggunakan WMIC untuk meluncurkan versi yang lebih tinggi dari ransomware untuk mengeksekusi bcdedit dan menghapus Shadow Volume Copies. Ini menyebabkan UAC atau User Account Control, prompt untuk tampil seperti di bawah ini. Peringatan palsu di atas digunakan untuk mencoba dan meyakinkan korban untuk menekan Yes pada prompt UAC di bawah ini.

Korban akan terus melihat peringatan palsu ini sampai mereka menekan tombol Yes pada prompt UAC. Begitu mereka melakukannya, ransomware akan menjalankan perintah berikut yang menonaktifkan pemulihan startup Windows dan menghapus Windows Shadow Volume Copies.

The victim will continue to see this fake alert until they press the Yes button at the UAC prompt. Once they do so, the ransomware will execute the following commands that disable the Windows startup recovery and to clear the Windows Shadow Volume Copies. Terakhir, ransomware Wallet akan menampilkan catatan tebusan yang disebut #_RESTORING_FILES _ #. TXT.

Ransom note berisi informasi mengenai apa yang terjadi pada file korban, ID identifikasi pribadi, dan alamat email yang dapat digunakan untuk menghubungi pengembang untuk mendapatkan instruksi pembayaran. Alamat email saat ini yang terlihat dalam varian ini adalah shield0@usa.com, admin@hoist.desi, dan crys

Mitigasi Ransomware Wallet

  • Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  • Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  • Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  • Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  • Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  • Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  • Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan

Sumber berita:
https://www.bleepingcomputer.com

Tags: anti virus super ringan CryptoMix ESET deteksi Ransomware Super Ringan

Continue Reading

Previous: Cerber Versi 6 Lebih Kompleks dari Sebelumnya
Next: WASPADA SERANGAN RANSOMWARE WANNACRY TINDAKAN PENCEGAHAN UNTUK ESET BUSINESS USERS

Related Stories

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
5 min read
  • Teknologi

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat

August 1, 2025
Server Lokal vs Cloud Mana yang Lebih Aman Server Lokal vs Cloud Mana yang Lebih Aman
6 min read
  • Sektor Bisnis
  • Teknologi

Server Lokal vs Cloud Mana yang Lebih Aman

August 1, 2025
Melacak Jejak Panggilan Penipuan yang Semakin Canggih Melacak Jejak Panggilan Penipuan yang Semakin Canggih
6 min read
  • Teknologi

Melacak Jejak Panggilan Penipuan yang Semakin Canggih

July 31, 2025

Recent Posts

  • Panduan Bersih-Bersih Komputer Setelah Kena Malware
  • Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
  • Server Lokal vs Cloud Mana yang Lebih Aman
  • Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda
  • Melacak Jejak Panggilan Penipuan yang Semakin Canggih
  • Modus Serangan yang Sedang Marak
  • Ekstensi Browser Bisa Jadi Pintu Masuk Peretas
  • ESET Temukan Dua Eksploitasi Zero Day yang Mengancam Dunia
  • Jebakan CAPTCHA Palsu
  • Implikasi Hukum dan Tren Masa Depan Spyware Seluler

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Panduan Bersih-Bersih Komputer Setelah Kena Malware Panduan Bersih-Bersih Komputer Setelah Kena Malware
5 min read
  • Tips & Tricks

Panduan Bersih-Bersih Komputer Setelah Kena Malware

August 1, 2025
Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
5 min read
  • Teknologi

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat

August 1, 2025
Server Lokal vs Cloud Mana yang Lebih Aman Server Lokal vs Cloud Mana yang Lebih Aman
6 min read
  • Sektor Bisnis
  • Teknologi

Server Lokal vs Cloud Mana yang Lebih Aman

August 1, 2025
Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda
4 min read
  • Mobile Security
  • Sektor Personal

Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda

July 31, 2025

Copyright © All rights reserved. | DarkNews by AF themes.