Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ekstensi Varian Baru CryptoMix Membingungkan Korban
  • Teknologi

Ekstensi Varian Baru CryptoMix Membingungkan Korban

4 min read

Credit image: Pixabay

Varian baru CryptoMix atau CryptFile2, yang baru saja dirilis menggunakan ekstensi [Payment_email] .ID [VICTIM_16_CHAR_ID] .WALLET untuk file terenkripsi. Membuat korban lebih sulit untuk dengan mudah mengidentifikasi ransomware apa yang menginfeksi mereka saat melakukan pencarian di web.

Hal ini disebabkan karena ekstensi .WALLET telah digunakan oleh Dharma/Crysis, Sanction, dan sekarang oleh CryptoMix. Saat ini alamat email pembayaran adalah shield0@usa.com, Admin@hoist.desi, dan crysis@life.com.

Varian yang baru ditemukan ini sedang diidentifikasi melalui penelitian yang mendalam berdasar sampel yang didapat untuk melihat apakah varian CryptoMix mengalami perubahan setelah varian Revenge terakhir kali dilepas.

Cara Enkripsi

Karena ransomware ini menggunakan ekstensi .Wallet di belakang setiap nama file yang usai dienkripsi, para peneliti memberi nama malware ini dengan nama ransomware Wallet.

Meskipun masih belum diketahui secara pasti bagaimana ransomware Wallet didistribusikan,ada kemungkinan penyebaran ransom malware berbahaya ini masih menggunakan cara konvensional yaitu spam email yang kerap dijadikan metode utama kebanyakan ransomware.

Begitu executable dijalankan, ia akan menghasilkan 16 heksadesimal ID korban dan kunci enkripsi pada komputer dan kemudian mengirim informasi ini kembali ke server Command & Center.

Wallet kemudian mulai melakukan pemindaian pada komputer mencari file untuk dienkripsi. Tidak seperti kebanyakan infeksi ransomware dan versi sebelumnya yaitu Revenge. Versi ini tidak mencari ekstensi secara spesifik tetapi mengenkripsi setiap file yang dideteksi selama tidak berada dalam folder tertentu, sebagai berikut:

WINDOWS, PACKAGES, COOKIES, PROGRAMDATA, MICROSOFT, BOOT, APPLICATION DATA, WINNT, INETCACHE, NVIDIA, SYSTEM VOLUME INFORMATION, $RECYCLE.BIN, TEMP, PROGRAM FILES, PROGRAM FILES (X86), CACHE, TEMPORARY INTERNET FILES, WEBCACHE, and APPDATA

Ketika Wallet mengenkripsi file, ia akan menggunakan enkripsi AES dan kemudian mengganti nama file terenkripsi. Saat mengganti nama file, Wallet menggunakan ROT-13 pada nama file yang asli dan menambahkan ekstensi .[SHIELD0@USA.COM].ID[VICTIM_16_CHAR_ID].WALLET atau [admin@hoist.desi].ID[VICTIM_16_CHAR_ID].WALLET, atau [crysis@life.com].ID[VICTIM_16_CHAR_ID].WALLET, tergantung pada variannya pada nama file yang dienkripsi.

Sebagai contoh, sebuah file bernama coba.jpg akan dienkripsi dan diganti namanya menjadi grfg.wct. [SHIELD0@USA.COM] .ID [1111111111111111] .WALLET.
Di setiap folder di mana Wallet mengenkripsi file, ia juga akan menciptakan ransom note bernama #_RESTORING_FILES_#.TXT. Tidak seperti versi lawas dari CryptoMix, varian ini tidak membuat ransom note versi HTML.

Wallet kemudian akan menampilkan peringatan palsu yang menyatakan:
The instruction at 0xe9c71f6c referenced memory at 0x00000000C. The memory could not be read.

Click on Yes in the next window for restore work explorer.exe.
Seperti peringatan palsu dalam Revenge, penggunaan bahasa Inggris yang janggal pada ransom note Wallet seharusnya cukup menjadi indikasi atau isyarat kepada korban bahwa peringatan ini tidak sah.

Saat korban menekan tombol OK, ransomware akan menggunakan WMIC untuk meluncurkan versi yang lebih tinggi dari ransomware untuk mengeksekusi bcdedit dan menghapus Shadow Volume Copies. Ini menyebabkan UAC atau User Account Control, prompt untuk tampil seperti di bawah ini. Peringatan palsu di atas digunakan untuk mencoba dan meyakinkan korban untuk menekan Yes pada prompt UAC di bawah ini.

Korban akan terus melihat peringatan palsu ini sampai mereka menekan tombol Yes pada prompt UAC. Begitu mereka melakukannya, ransomware akan menjalankan perintah berikut yang menonaktifkan pemulihan startup Windows dan menghapus Windows Shadow Volume Copies.

The victim will continue to see this fake alert until they press the Yes button at the UAC prompt. Once they do so, the ransomware will execute the following commands that disable the Windows startup recovery and to clear the Windows Shadow Volume Copies. Terakhir, ransomware Wallet akan menampilkan catatan tebusan yang disebut #_RESTORING_FILES _ #. TXT.

Ransom note berisi informasi mengenai apa yang terjadi pada file korban, ID identifikasi pribadi, dan alamat email yang dapat digunakan untuk menghubungi pengembang untuk mendapatkan instruksi pembayaran. Alamat email saat ini yang terlihat dalam varian ini adalah shield0@usa.com, admin@hoist.desi, dan crys

Mitigasi Ransomware Wallet

  • Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  • Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  • Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  • Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  • Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  • Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  • Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan

Sumber berita:
https://www.bleepingcomputer.com

Tags: anti virus super ringan CryptoMix ESET deteksi Ransomware Super Ringan

Continue Reading

Previous: Cerber Versi 6 Lebih Kompleks dari Sebelumnya
Next: WASPADA SERANGAN RANSOMWARE WANNACRY TINDAKAN PENCEGAHAN UNTUK ESET BUSINESS USERS

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.