HDDCryptor, Ransomware Penghapus MBR

Ransomware baru bernama HDDCryptor atau kadang dieja HDD Cryptor dan diidentifikasi sebagai Mamba adalah sebuah varian ransomware yang menulis ulang MBR (Master Boot Record) boot sector komputer dan mengunci komputer sehingga pengguna tidak bisa menggunakan komputernya.

Awalnya banyak yang mengira HDDCryptor adalan klon dari Petya, tetapi sesungguhnya itu suatu kesalahan besar, karena baik Petya maupun Satana muncul belakangan sesudah HDDcryptor yang mulai beraksi pada akhir Januari.

Berbeda dari ransomware lain, pengembang ransomware ini sepertinya sengaja menghindari operasi serangan ransomware secara masif untuk menghindari dan bersembunyi dari pantauan vendor keamanan dan peneliti keamanan independen. Sehingga mereka bisa lebih leluasa bergerak dan mencari korban.

HDDCryptor Mencuri Perhatian

Gerakan senyap yang dilakukan HDDCryptor awalnya berjalan mulus sampai pengembang malware mengubah taktik dengan meningkatkan aktivitas serangannya sehingga menjadi sorotan semua peneliti keamanan, mungkin satu-satunya alasan yang masuk akal mengapa mereka mengubah taktik adalah karena mereka mulai serakah.

Peneliti Keamanan ESET melihat proses penyebaran dimulai saat pengguna komputer mengunduh file dari website tidak aman, yang memasukkan binary berbahaya dalam komputer atau melalui payload pada tahap selanjutnya. Binary awal ini diberi nama menggunakan tiga digit angka acak dalam bentuk, misalnya 123.exe.

Saat dijalankan, binary awal ini akan memasukkan file-file berikut ke dalam folder dalam sistem root komputer:

• dcapi.dll.
• dccon.exe (digunakan untuk mengenkripsi disk drive).
• dcrypt.exe.
• dcrypt.sys.
• log_file.txt (log kegiatan malware).
• Mount.exe (memindai mapped drive dan mengenkripsi file yang tersimpan di
• dalamnya).
• netpass.exe (digunakan untuk memindai folder jaringan sebelumnya diakses).
• netuse.txt (digunakan untuk menyimpan informasi tentang drive jaringan yang dipetakan).
• netpass.txt (digunakan untuk menyimpan password pengguna).

Dua file yang menjadi perhatian utama adalah Netpass.exe yaitu sebuah tool pemulihan network bebas password dan dcrypt.exe yang merupakan executable untuk DiskCryptor, yaitu sebuah open source yang memberi layanan enkripsi untuk partisi disk dan partisi sistem.

HDDCryptor juga membuat pengguna baru yang disebut mythbusters dengan password 123456 untuk bisa bertahan tiap kali komputer di booting, selain itu, ia juga menambahkan layanan baru yang disebut DefragmentService yang berjalan di setiap boot. Layanan inilah yang mengaktifkan binary ransomware tiga digit file exe.

Tool netpass.exe yang pertama dijalankan untuk memindai folder jaringan yang mengakses sebelumnya dan mengekstraksi kredensial. Informasi pada drive jaringan disimpan dalam dua file lokal teks, yang memegang rincian tentang mapped drive dan setiap kredensial jika ada.

HDDCryptor Mengenkripsi File dan Menulis Ulang MBR

Proses infeksi berlanjut dengan dccon.exe dan Mount.exe. Kedua file menggunakan DiskCryptor untuk mengenkripsi file pengguna. Dccon.exe mengenkripsi file pada hard disk pengguna, sementara Mount.exe mengenkripsi semua file pada drive mapped network. bahkan untuk yang sudah terputus dari jaringan tetapi masih terjangkau secara fisik.

Setelah enkripsi selesai dilaksanakan, ransomware menulis ulang MBR untuk semua partisi hard disk dengan custom boot loader.

Ia kemudian reboot komputer pengguna tanpa interaksi pengguna dan kemudian menampilkan pesan pada layar dengan mengatakan bahwa hard disk telah dienkripsi dan untuk membeli password silakan mengirim email ke gem3770sigaint.org.

Pada versi bulan Januari, ransomware ini menunjukkan pesan sebagai berikut yang menggunakan kata-kata berbeda dan email yang berbeda pula. Versi Januari menggunakan empat digit angka untuk ID korban, sementara versi bulan Agustus – September menggunakan tanda pengenal enam digit.

Sejauh ini, dari alamat Bitcoin untuk pembayaran uang tebusan ransomware di bulan September diketahui sudah empat korban yang membayar tebusan.

Dan bagi mereka yang telah membayar uang tebusan biasanya akan mendapat password untuk mendapatkan file mereka kembali, meskipun dalam banyak kasus ransomware, seringkali korban yang sudah membayar tidak mendapat filenya kembali.

Membayar ransomware bukanlah jalan keluar menyelesaikan masalah, dengan mengikuti kemamuan mereka, itu sama saja mendukung tindak kejahatan mereka, karena peneliti ESET berulangkali selalu mengingatkan untuk selalu berhati-hati dan waspada selalu ketika berselancar di internet.

Dan selalu menyarankan agar para pengguna komputer menggunakan solusi keamanan yang komprehensif dan super ringan agar terhindar dari bahaya ransomware dan membebani komputer saat dioperasikan.

Sumber berita:

www.bleepingcomputer.com
www.nirsoft.net