Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • HDDCryptor, Ransomware Penghapus MBR
  • Teknologi

HDDCryptor, Ransomware Penghapus MBR

3 min read

Credit image: Pixabay

Ransomware baru bernama HDDCryptor atau kadang dieja HDD Cryptor dan diidentifikasi sebagai Mamba adalah sebuah varian ransomware yang menulis ulang MBR (Master Boot Record) boot sector komputer dan mengunci komputer sehingga pengguna tidak bisa menggunakan komputernya.

Awalnya banyak yang mengira HDDCryptor adalan klon dari Petya, tetapi sesungguhnya itu suatu kesalahan besar, karena baik Petya maupun Satana muncul belakangan sesudah HDDcryptor yang mulai beraksi pada akhir Januari.

Berbeda dari ransomware lain, pengembang ransomware ini sepertinya sengaja menghindari operasi serangan ransomware secara masif untuk menghindari dan bersembunyi dari pantauan vendor keamanan dan peneliti keamanan independen. Sehingga mereka bisa lebih leluasa bergerak dan mencari korban.

HDDCryptor Mencuri Perhatian

Gerakan senyap yang dilakukan HDDCryptor awalnya berjalan mulus sampai pengembang malware mengubah taktik dengan meningkatkan aktivitas serangannya sehingga menjadi sorotan semua peneliti keamanan, mungkin satu-satunya alasan yang masuk akal mengapa mereka mengubah taktik adalah karena mereka mulai serakah.

Peneliti Keamanan ESET melihat proses penyebaran dimulai saat pengguna komputer mengunduh file dari website tidak aman, yang memasukkan binary berbahaya dalam komputer atau melalui payload pada tahap selanjutnya. Binary awal ini diberi nama menggunakan tiga digit angka acak dalam bentuk, misalnya 123.exe.

Saat dijalankan, binary awal ini akan memasukkan file-file berikut ke dalam folder dalam sistem root komputer:

  • dcapi.dll.
  • dccon.exe (digunakan untuk mengenkripsi disk drive).
  • dcrypt.exe.
  • dcrypt.sys.
  • log_file.txt (log kegiatan malware).
  • Mount.exe (memindai mapped drive dan mengenkripsi file yang tersimpan di
  • dalamnya).
  • netpass.exe (digunakan untuk memindai folder jaringan sebelumnya diakses).
  • netuse.txt (digunakan untuk menyimpan informasi tentang drive jaringan yang dipetakan).
  • netpass.txt (digunakan untuk menyimpan password pengguna).

Dua file yang menjadi perhatian utama adalah Netpass.exe yaitu sebuah tool pemulihan network bebas password dan dcrypt.exe yang merupakan executable untuk DiskCryptor, yaitu sebuah open source yang memberi layanan enkripsi untuk partisi disk dan partisi sistem.

HDDCryptor juga membuat pengguna baru yang disebut mythbusters dengan password 123456 untuk bisa bertahan tiap kali komputer di booting, selain itu, ia juga menambahkan layanan baru yang disebut DefragmentService yang berjalan di setiap boot. Layanan inilah yang mengaktifkan binary ransomware tiga digit file exe.

Tool netpass.exe yang pertama dijalankan untuk memindai folder jaringan yang mengakses sebelumnya dan mengekstraksi kredensial. Informasi pada drive jaringan disimpan dalam dua file lokal teks, yang memegang rincian tentang mapped drive dan setiap kredensial jika ada.

HDDCryptor Mengenkripsi File dan Menulis Ulang MBR

Proses infeksi berlanjut dengan dccon.exe dan Mount.exe. Kedua file menggunakan DiskCryptor untuk mengenkripsi file pengguna. Dccon.exe mengenkripsi file pada hard disk pengguna, sementara Mount.exe mengenkripsi semua file pada drive mapped network. bahkan untuk yang sudah terputus dari jaringan tetapi masih terjangkau secara fisik.

Setelah enkripsi selesai dilaksanakan, ransomware menulis ulang MBR untuk semua partisi hard disk dengan custom boot loader.

Ia kemudian reboot komputer pengguna tanpa interaksi pengguna dan kemudian menampilkan pesan pada layar dengan mengatakan bahwa hard disk telah dienkripsi dan untuk membeli password silakan mengirim email ke gem3770sigaint.org.

Pada versi bulan Januari, ransomware ini menunjukkan pesan sebagai berikut yang menggunakan kata-kata berbeda dan email yang berbeda pula. Versi Januari menggunakan empat digit angka untuk ID korban, sementara versi bulan Agustus – September menggunakan tanda pengenal enam digit.

Sejauh ini, dari alamat Bitcoin untuk pembayaran uang tebusan ransomware di bulan September diketahui sudah empat korban yang membayar tebusan.

Dan bagi mereka yang telah membayar uang tebusan biasanya akan mendapat password untuk mendapatkan file mereka kembali, meskipun dalam banyak kasus ransomware, seringkali korban yang sudah membayar tidak mendapat filenya kembali.

Membayar ransomware bukanlah jalan keluar menyelesaikan masalah, dengan mengikuti kemamuan mereka, itu sama saja mendukung tindak kejahatan mereka, karena peneliti ESET berulangkali selalu mengingatkan untuk selalu berhati-hati dan waspada selalu ketika berselancar di internet.

Dan selalu menyarankan agar para pengguna komputer menggunakan solusi keamanan yang komprehensif dan super ringan agar terhindar dari bahaya ransomware dan membebani komputer saat dioperasikan.

Sumber berita:

www.bleepingcomputer.com
www.nirsoft.net

Tags: anti maling anti virus super ringan ESET deteksi Ransomware HDDCryptor Ransomware Super Ringan

Post navigation

Previous USB Pembunuh
Next Cerber Berulah Lagi di Indonesia

Related Stories

Awas! Infostealer Canggih Incar Data Pembayaran Awas! Infostealer Canggih Incar Data Pembayaran
4 min read
  • Sektor Personal
  • Teknologi

Awas! Infostealer Canggih Incar Data Pembayaran

October 28, 2025
Waspada Jingle Thief Cloud Ritel Jadi Target Utama Waspada Jingle Thief Cloud Ritel Jadi Target Utama
4 min read
  • Sektor Personal
  • Teknologi

Waspada Jingle Thief Cloud Ritel Jadi Target Utama

October 27, 2025
Kunci Rahasia IIS Bocor Ratusan Server Diretas Kunci Rahasia IIS Bocor Ratusan Server Diretas
4 min read
  • Sektor Bisnis
  • Teknologi

Kunci Rahasia IIS Bocor Ratusan Server Diretas

October 23, 2025

Recent Posts

  • Awas! Infostealer Canggih Incar Data Pembayaran
  • Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!
  • Modus Penipuan Email Bisnis Paling Merugikan
  • 10 Malware Tercanggih yang Mengintai Ponsel Android
  • Waspada Jingle Thief Cloud Ritel Jadi Target Utama
  • Serangan DreamJob Incar Pabrik Drone
  • SnakeStealer Pencuri Data yang Merajalela
  • Penipuan Canggih di Balik Kedok Karyawan Bank
  • Ancaman Terbesar Kini Datang dari Ponsel Pribadi Karyawan
  • Kunci Rahasia IIS Bocor Ratusan Server Diretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Awas! Infostealer Canggih Incar Data Pembayaran Awas! Infostealer Canggih Incar Data Pembayaran
4 min read
  • Sektor Personal
  • Teknologi

Awas! Infostealer Canggih Incar Data Pembayaran

October 28, 2025
Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri! Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!
3 min read
  • Sektor Bisnis

Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!

October 28, 2025
Modus Penipuan Email Bisnis Paling Merugikan Modus Penipuan Email Bisnis Paling Merugikan
4 min read
  • Sektor Bisnis

Modus Penipuan Email Bisnis Paling Merugikan

October 28, 2025
10 Malware Tercanggih yang Mengintai Ponsel Android 10 Malware Tercanggih yang Mengintai Ponsel Android
5 min read
  • Mobile Security
  • Sektor Personal

10 Malware Tercanggih yang Mengintai Ponsel Android

October 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.