Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • HDDCryptor, Ransomware Penghapus MBR
  • Teknologi

HDDCryptor, Ransomware Penghapus MBR

3 min read

Credit image: Pixabay

Ransomware baru bernama HDDCryptor atau kadang dieja HDD Cryptor dan diidentifikasi sebagai Mamba adalah sebuah varian ransomware yang menulis ulang MBR (Master Boot Record) boot sector komputer dan mengunci komputer sehingga pengguna tidak bisa menggunakan komputernya.

Awalnya banyak yang mengira HDDCryptor adalan klon dari Petya, tetapi sesungguhnya itu suatu kesalahan besar, karena baik Petya maupun Satana muncul belakangan sesudah HDDcryptor yang mulai beraksi pada akhir Januari.

Berbeda dari ransomware lain, pengembang ransomware ini sepertinya sengaja menghindari operasi serangan ransomware secara masif untuk menghindari dan bersembunyi dari pantauan vendor keamanan dan peneliti keamanan independen. Sehingga mereka bisa lebih leluasa bergerak dan mencari korban.

HDDCryptor Mencuri Perhatian

Gerakan senyap yang dilakukan HDDCryptor awalnya berjalan mulus sampai pengembang malware mengubah taktik dengan meningkatkan aktivitas serangannya sehingga menjadi sorotan semua peneliti keamanan, mungkin satu-satunya alasan yang masuk akal mengapa mereka mengubah taktik adalah karena mereka mulai serakah.

Peneliti Keamanan ESET melihat proses penyebaran dimulai saat pengguna komputer mengunduh file dari website tidak aman, yang memasukkan binary berbahaya dalam komputer atau melalui payload pada tahap selanjutnya. Binary awal ini diberi nama menggunakan tiga digit angka acak dalam bentuk, misalnya 123.exe.

Saat dijalankan, binary awal ini akan memasukkan file-file berikut ke dalam folder dalam sistem root komputer:

  • dcapi.dll.
  • dccon.exe (digunakan untuk mengenkripsi disk drive).
  • dcrypt.exe.
  • dcrypt.sys.
  • log_file.txt (log kegiatan malware).
  • Mount.exe (memindai mapped drive dan mengenkripsi file yang tersimpan di
  • dalamnya).
  • netpass.exe (digunakan untuk memindai folder jaringan sebelumnya diakses).
  • netuse.txt (digunakan untuk menyimpan informasi tentang drive jaringan yang dipetakan).
  • netpass.txt (digunakan untuk menyimpan password pengguna).

Dua file yang menjadi perhatian utama adalah Netpass.exe yaitu sebuah tool pemulihan network bebas password dan dcrypt.exe yang merupakan executable untuk DiskCryptor, yaitu sebuah open source yang memberi layanan enkripsi untuk partisi disk dan partisi sistem.

HDDCryptor juga membuat pengguna baru yang disebut mythbusters dengan password 123456 untuk bisa bertahan tiap kali komputer di booting, selain itu, ia juga menambahkan layanan baru yang disebut DefragmentService yang berjalan di setiap boot. Layanan inilah yang mengaktifkan binary ransomware tiga digit file exe.

Tool netpass.exe yang pertama dijalankan untuk memindai folder jaringan yang mengakses sebelumnya dan mengekstraksi kredensial. Informasi pada drive jaringan disimpan dalam dua file lokal teks, yang memegang rincian tentang mapped drive dan setiap kredensial jika ada.

HDDCryptor Mengenkripsi File dan Menulis Ulang MBR

Proses infeksi berlanjut dengan dccon.exe dan Mount.exe. Kedua file menggunakan DiskCryptor untuk mengenkripsi file pengguna. Dccon.exe mengenkripsi file pada hard disk pengguna, sementara Mount.exe mengenkripsi semua file pada drive mapped network. bahkan untuk yang sudah terputus dari jaringan tetapi masih terjangkau secara fisik.

Setelah enkripsi selesai dilaksanakan, ransomware menulis ulang MBR untuk semua partisi hard disk dengan custom boot loader.

Ia kemudian reboot komputer pengguna tanpa interaksi pengguna dan kemudian menampilkan pesan pada layar dengan mengatakan bahwa hard disk telah dienkripsi dan untuk membeli password silakan mengirim email ke gem3770sigaint.org.

Pada versi bulan Januari, ransomware ini menunjukkan pesan sebagai berikut yang menggunakan kata-kata berbeda dan email yang berbeda pula. Versi Januari menggunakan empat digit angka untuk ID korban, sementara versi bulan Agustus – September menggunakan tanda pengenal enam digit.

Sejauh ini, dari alamat Bitcoin untuk pembayaran uang tebusan ransomware di bulan September diketahui sudah empat korban yang membayar tebusan.

Dan bagi mereka yang telah membayar uang tebusan biasanya akan mendapat password untuk mendapatkan file mereka kembali, meskipun dalam banyak kasus ransomware, seringkali korban yang sudah membayar tidak mendapat filenya kembali.

Membayar ransomware bukanlah jalan keluar menyelesaikan masalah, dengan mengikuti kemamuan mereka, itu sama saja mendukung tindak kejahatan mereka, karena peneliti ESET berulangkali selalu mengingatkan untuk selalu berhati-hati dan waspada selalu ketika berselancar di internet.

Dan selalu menyarankan agar para pengguna komputer menggunakan solusi keamanan yang komprehensif dan super ringan agar terhindar dari bahaya ransomware dan membebani komputer saat dioperasikan.

Sumber berita:

www.bleepingcomputer.com
www.nirsoft.net

Tags: anti maling anti virus super ringan ESET deteksi Ransomware HDDCryptor Ransomware Super Ringan

Continue Reading

Previous: USB Pembunuh
Next: Cerber Berulah Lagi di Indonesia

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
4 min read
  • Sektor Personal

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri

June 30, 2025
Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025

Copyright © All rights reserved. | DarkNews by AF themes.