Ekstensi Varian Baru CryptoMix Membingungkan Korban

Varian baru CryptoMix atau CryptFile2, yang baru saja dirilis menggunakan ekstensi [Payment_email] .ID [VICTIM_16_CHAR_ID] .WALLET untuk file terenkripsi. Membuat korban lebih sulit untuk dengan mudah mengidentifikasi ransomware apa yang menginfeksi mereka saat melakukan pencarian di web.

Hal ini disebabkan karena ekstensi .WALLET telah digunakan oleh Dharma/Crysis, Sanction, dan sekarang oleh CryptoMix. Saat ini alamat email pembayaran adalah shield0@usa.com, Admin@hoist.desi, dan crysis@life.com.

Varian yang baru ditemukan ini sedang diidentifikasi melalui penelitian yang mendalam berdasar sampel yang didapat untuk melihat apakah varian CryptoMix mengalami perubahan setelah varian Revenge terakhir kali dilepas.

Cara Enkripsi

Karena ransomware ini menggunakan ekstensi .Wallet di belakang setiap nama file yang usai dienkripsi, para peneliti memberi nama malware ini dengan nama ransomware Wallet.

Meskipun masih belum diketahui secara pasti bagaimana ransomware Wallet didistribusikan,ada kemungkinan penyebaran ransom malware berbahaya ini masih menggunakan cara konvensional yaitu spam email yang kerap dijadikan metode utama kebanyakan ransomware.

Begitu executable dijalankan, ia akan menghasilkan 16 heksadesimal ID korban dan kunci enkripsi pada komputer dan kemudian mengirim informasi ini kembali ke server Command & Center.

Wallet kemudian mulai melakukan pemindaian pada komputer mencari file untuk dienkripsi. Tidak seperti kebanyakan infeksi ransomware dan versi sebelumnya yaitu Revenge. Versi ini tidak mencari ekstensi secara spesifik tetapi mengenkripsi setiap file yang dideteksi selama tidak berada dalam folder tertentu, sebagai berikut:

WINDOWS, PACKAGES, COOKIES, PROGRAMDATA, MICROSOFT, BOOT, APPLICATION DATA, WINNT, INETCACHE, NVIDIA, SYSTEM VOLUME INFORMATION, $RECYCLE.BIN, TEMP, PROGRAM FILES, PROGRAM FILES (X86), CACHE, TEMPORARY INTERNET FILES, WEBCACHE, and APPDATA

Ketika Wallet mengenkripsi file, ia akan menggunakan enkripsi AES dan kemudian mengganti nama file terenkripsi. Saat mengganti nama file, Wallet menggunakan ROT-13 pada nama file yang asli dan menambahkan ekstensi .[SHIELD0@USA.COM].ID[VICTIM_16_CHAR_ID].WALLET atau [admin@hoist.desi].ID[VICTIM_16_CHAR_ID].WALLET, atau [crysis@life.com].ID[VICTIM_16_CHAR_ID].WALLET, tergantung pada variannya pada nama file yang dienkripsi.

Sebagai contoh, sebuah file bernama coba.jpg akan dienkripsi dan diganti namanya menjadi grfg.wct. [SHIELD0@USA.COM] .ID [1111111111111111] .WALLET.
Di setiap folder di mana Wallet mengenkripsi file, ia juga akan menciptakan ransom note bernama #_RESTORING_FILES_#.TXT. Tidak seperti versi lawas dari CryptoMix, varian ini tidak membuat ransom note versi HTML.

Wallet kemudian akan menampilkan peringatan palsu yang menyatakan:
The instruction at 0xe9c71f6c referenced memory at 0x00000000C. The memory could not be read.

Click on Yes in the next window for restore work explorer.exe.
Seperti peringatan palsu dalam Revenge, penggunaan bahasa Inggris yang janggal pada ransom note Wallet seharusnya cukup menjadi indikasi atau isyarat kepada korban bahwa peringatan ini tidak sah.

Saat korban menekan tombol OK, ransomware akan menggunakan WMIC untuk meluncurkan versi yang lebih tinggi dari ransomware untuk mengeksekusi bcdedit dan menghapus Shadow Volume Copies. Ini menyebabkan UAC atau User Account Control, prompt untuk tampil seperti di bawah ini. Peringatan palsu di atas digunakan untuk mencoba dan meyakinkan korban untuk menekan Yes pada prompt UAC di bawah ini.

Korban akan terus melihat peringatan palsu ini sampai mereka menekan tombol Yes pada prompt UAC. Begitu mereka melakukannya, ransomware akan menjalankan perintah berikut yang menonaktifkan pemulihan startup Windows dan menghapus Windows Shadow Volume Copies.

The victim will continue to see this fake alert until they press the Yes button at the UAC prompt. Once they do so, the ransomware will execute the following commands that disable the Windows startup recovery and to clear the Windows Shadow Volume Copies. Terakhir, ransomware Wallet akan menampilkan catatan tebusan yang disebut #_RESTORING_FILES _ #. TXT.

Ransom note berisi informasi mengenai apa yang terjadi pada file korban, ID identifikasi pribadi, dan alamat email yang dapat digunakan untuk menghubungi pengembang untuk mendapatkan instruksi pembayaran. Alamat email saat ini yang terlihat dalam varian ini adalah shield0@usa.com, admin@hoist.desi, dan crys

Mitigasi Ransomware Wallet

• Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
• Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
• Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
• Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
• Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
• Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
• Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan

Sumber berita:
https://www.bleepingcomputer.com