Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • HDDCryptor, Ransomware Penghapus MBR
  • Teknologi

HDDCryptor, Ransomware Penghapus MBR

3 min read

Credit image: Pixabay

Ransomware baru bernama HDDCryptor atau kadang dieja HDD Cryptor dan diidentifikasi sebagai Mamba adalah sebuah varian ransomware yang menulis ulang MBR (Master Boot Record) boot sector komputer dan mengunci komputer sehingga pengguna tidak bisa menggunakan komputernya.

Awalnya banyak yang mengira HDDCryptor adalan klon dari Petya, tetapi sesungguhnya itu suatu kesalahan besar, karena baik Petya maupun Satana muncul belakangan sesudah HDDcryptor yang mulai beraksi pada akhir Januari.

Berbeda dari ransomware lain, pengembang ransomware ini sepertinya sengaja menghindari operasi serangan ransomware secara masif untuk menghindari dan bersembunyi dari pantauan vendor keamanan dan peneliti keamanan independen. Sehingga mereka bisa lebih leluasa bergerak dan mencari korban.

HDDCryptor Mencuri Perhatian

Gerakan senyap yang dilakukan HDDCryptor awalnya berjalan mulus sampai pengembang malware mengubah taktik dengan meningkatkan aktivitas serangannya sehingga menjadi sorotan semua peneliti keamanan, mungkin satu-satunya alasan yang masuk akal mengapa mereka mengubah taktik adalah karena mereka mulai serakah.

Peneliti Keamanan ESET melihat proses penyebaran dimulai saat pengguna komputer mengunduh file dari website tidak aman, yang memasukkan binary berbahaya dalam komputer atau melalui payload pada tahap selanjutnya. Binary awal ini diberi nama menggunakan tiga digit angka acak dalam bentuk, misalnya 123.exe.

Saat dijalankan, binary awal ini akan memasukkan file-file berikut ke dalam folder dalam sistem root komputer:

  • dcapi.dll.
  • dccon.exe (digunakan untuk mengenkripsi disk drive).
  • dcrypt.exe.
  • dcrypt.sys.
  • log_file.txt (log kegiatan malware).
  • Mount.exe (memindai mapped drive dan mengenkripsi file yang tersimpan di
  • dalamnya).
  • netpass.exe (digunakan untuk memindai folder jaringan sebelumnya diakses).
  • netuse.txt (digunakan untuk menyimpan informasi tentang drive jaringan yang dipetakan).
  • netpass.txt (digunakan untuk menyimpan password pengguna).

Dua file yang menjadi perhatian utama adalah Netpass.exe yaitu sebuah tool pemulihan network bebas password dan dcrypt.exe yang merupakan executable untuk DiskCryptor, yaitu sebuah open source yang memberi layanan enkripsi untuk partisi disk dan partisi sistem.

HDDCryptor juga membuat pengguna baru yang disebut mythbusters dengan password 123456 untuk bisa bertahan tiap kali komputer di booting, selain itu, ia juga menambahkan layanan baru yang disebut DefragmentService yang berjalan di setiap boot. Layanan inilah yang mengaktifkan binary ransomware tiga digit file exe.

Tool netpass.exe yang pertama dijalankan untuk memindai folder jaringan yang mengakses sebelumnya dan mengekstraksi kredensial. Informasi pada drive jaringan disimpan dalam dua file lokal teks, yang memegang rincian tentang mapped drive dan setiap kredensial jika ada.

HDDCryptor Mengenkripsi File dan Menulis Ulang MBR

Proses infeksi berlanjut dengan dccon.exe dan Mount.exe. Kedua file menggunakan DiskCryptor untuk mengenkripsi file pengguna. Dccon.exe mengenkripsi file pada hard disk pengguna, sementara Mount.exe mengenkripsi semua file pada drive mapped network. bahkan untuk yang sudah terputus dari jaringan tetapi masih terjangkau secara fisik.

Setelah enkripsi selesai dilaksanakan, ransomware menulis ulang MBR untuk semua partisi hard disk dengan custom boot loader.

Ia kemudian reboot komputer pengguna tanpa interaksi pengguna dan kemudian menampilkan pesan pada layar dengan mengatakan bahwa hard disk telah dienkripsi dan untuk membeli password silakan mengirim email ke gem3770sigaint.org.

Pada versi bulan Januari, ransomware ini menunjukkan pesan sebagai berikut yang menggunakan kata-kata berbeda dan email yang berbeda pula. Versi Januari menggunakan empat digit angka untuk ID korban, sementara versi bulan Agustus – September menggunakan tanda pengenal enam digit.

Sejauh ini, dari alamat Bitcoin untuk pembayaran uang tebusan ransomware di bulan September diketahui sudah empat korban yang membayar tebusan.

Dan bagi mereka yang telah membayar uang tebusan biasanya akan mendapat password untuk mendapatkan file mereka kembali, meskipun dalam banyak kasus ransomware, seringkali korban yang sudah membayar tidak mendapat filenya kembali.

Membayar ransomware bukanlah jalan keluar menyelesaikan masalah, dengan mengikuti kemamuan mereka, itu sama saja mendukung tindak kejahatan mereka, karena peneliti ESET berulangkali selalu mengingatkan untuk selalu berhati-hati dan waspada selalu ketika berselancar di internet.

Dan selalu menyarankan agar para pengguna komputer menggunakan solusi keamanan yang komprehensif dan super ringan agar terhindar dari bahaya ransomware dan membebani komputer saat dioperasikan.

Sumber berita:

www.bleepingcomputer.com
www.nirsoft.net

Tags: anti maling anti virus super ringan ESET deteksi Ransomware HDDCryptor Ransomware Super Ringan

Post navigation

Previous USB Pembunuh
Next Cerber Berulah Lagi di Indonesia

Related Stories

Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
4 min read
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

October 7, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.