Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Teknologi
  • Ransomware Cry
  • Teknologi

Ransomware Cry

3 min read

Credit image: Pixabay

Kejahatan ransomware bergerak dengan sangat dinamis, bergerak dengan cepat dan selalu menyesuaikan diri dengan keadaan, mengubah-ubah metode penyerangan membuat mereka menjadi senjata mematikan yang sulit untuk ditaklukan.

Seperti baru-baru ini telah ditemukan sebuah ransomware yang menyamar sebagai sebuah organisasi yang disebut dengan Central Security Treatment Organization yang sebenarnya merupakan wujud jejadian dari sebuah malware yang dijuluki dengan nama ransomware Cry. Yang apabila menginfeksi komputer akan menambahkan ekstensi cry pada file yang terenkripsi.

cry

Berdasarkan hasil analisis, infeksi yang disebabkab oleh Cry menunjukkan beberapa karakteristik menarik yang tidak biasa terlihat pada ransomware lain.

Misalnya ransomware Cerber, ia akan mengirim informasi tentang korban ke server Command & Control menggunakan UDP.

Lebih lanjut, Cerber juga akan memanfaatkan situs umum seperti Imgur.com dan Pastee.org untuk menjadi pusat informasi untuk setiap korban. Kemudian ia akan meminta informasi ke database Google Maps API untuk menentukan lokasi korban menggunakan SSID wireless terdekat.

Saat korban terinfeksi, ransomware akan mengkompilasi berbagai informasi seperti versi Windows, service pack terinstal, jenis bit Windows, nama pengguna, nama komputer, dan jenis CPU terinstal dalam komputer.

Informasi ini kemudian akan dikirim melalui UDP ke 4096 alamat IP berbeda, yang salah satunya merupakan server Command & Control ransomware.

Pengunaan paket UDP kemungkinan dilakukan untuk menyamarkan lokasi dari server Command & Control sesungguhnya agar tidka dapat terlacaak oleh pihak berwenang.

Menemukan Lokasi Korban dengan SSID

Ransomware Cry juga akan meng-upload informasi yang sama serta daftar file terenkripsi ke Imgur.com. Hal ini dilakukan dengaan mengkompilasi semua informasi ke dalam sebuah file gambar PNG dan kemudian upload ke album Imgur.

Setelah file berhasil di-upload, Imgur merespon dengan nama unik sebagai nama file. Nama file ini disiarkan melalui UDP ke 4096 alamat IP untuk memberitahu server Command & Control bahwa korban baru telah terinfeksi.

Menggunakan Google Maps API, pelaku dapat menentukan lokasi query perangkat dengan SSID dari jaringan wireless terdekat.

Ransomware menggunakan WlanGetNetworkBssList untuk mendapatkan daftar wireless terdekat dan SSID mereka. Kemudian ia akan meminta informasi ke database Google Maps API dengan SSID ini untuk memperoleh lokasi korban.

Masih belum jelas ini digunakan untuk apa, tetapi informasi ini bisa saja dimanfaatkan untuk menghasilkan gambar dari lokasi korban dengan menggunakan peta Google. Dan bisa juga ini dijadikan sebagai alat untuk menakut-nakuti korban agar membayar uang tebusan.

Cara Kerja Enkripsi

Ketika ransomware menginfeksi komputer, ia membuat back up dari shortcut tertentu pada desktop Windows korban dan menyimpannya dalam folder pada desktop yang disebut old_shortcuts. Tujuan dari folder tersebut saat kini masih dalam penelitian.

Ransomware kemudian akan mengenkripsi file korban dan menambahkan ekstensi .cry ke file terenkripsi. File yang menjadi target ransomware mencapai lebih dari 600 ekstensi. Selama proses ini ransomware juga akan menghapus sistem Shadow Volume Copies menggunakan perintah:

vssadmin delete shadows /all /quiet

Untuk mampu bertahan setiap kali komputer di-booting, ransomware membuat nama secara acak pada schedule task yang akan jadi pemicu setiap kali pengguna login ke Windows.

cry

Lalu ransomware akan membuat ransom note dengan nama !Recovery_[random_chars].html and !Recovery_[random_chars].txt on the victim’s desktop. Ransom note berisi ID personal untuk korban dan instruksi tentang bagaimana cara akses ke situs pembayaran TOR.

Situs Pembayaran TOR

Ransom note dibuat oleh ransomware Central Security Treatment Organization berisi link ke situs pembayaran TOR. Ketika pengguna mengunjungi situs ini, mereka akan diminta untuk login menggunakan kode personal dari ransom note mereka.

Setelah korban login, mereka akan ditampilkan halaman yang menyatakan bahwa ini merupakan bagian dari sebuah organisasi yang mereka sebut Central Security Treatment Organization dan berisi permintaan uang tebusan yang korban harus bayar.

cry2

Bagian lain dari situs ini termasuk halaman pembayaran yang berisi daftar alamat bitcoin dimana pembayaran harus dikirim. Ada juga halaman support yang bisa digunakan korban untuk berkomunikasi dengan para pengembang malware.

Situs pembayaran juga akan mencakup dekripsi bebas dari satu file untuk menguji bahwa mereka benar-benar dapat mendekripsi file korban.

File yang terkait dengan Ransomware Central Security Treatment Organization:

%UserProfile%\AppData\Local\Temp\[random_chars].exe
%UserProfile%\AppData\Local\Temp\[random_chars].tmp
%UserProfile%\AppData\Local\Temp\[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].html
%UserProfile%\Desktop\!Recovery_[random_chars].txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\[random_chars]

Registry Entries terkait dengan Ransomware Central Security Treatment Organization:

HKCU\Software\[same_name_as_executable]

Sumber berita:

www.bleepingcomputer.com
bestsecuritysearch.com

Tags: Android Malware ESET deteksi Ransomware Ransomware Ransomware Cry sertifikat keamanan

Post navigation

Previous Trojan Dridex Bangkit dari Kubur
Next Ransomware Nullbyte Imitasi Necrobot Pokemon

artikel terkini

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

July 10, 2026
Operasi Global Menargetkan Puluhan Ribu Organisasi Operasi Global Menargetkan Puluhan Ribu Organisasi

Operasi Global Menargetkan Puluhan Ribu Organisasi

July 10, 2026
Ransomware JadePuffer Era Ransomware AI Ransomware JadePuffer Era Ransomware AI

Ransomware JadePuffer Era Ransomware AI

July 10, 2026
Kualitas Email Phising Terus Meningkat Kualitas Email Phising Terus Meningkat

Kualitas Email Phising Terus Meningkat

July 10, 2026
IoT dan Risiko Siber IoT dan Risiko Siber

IoT dan Risiko Siber

July 9, 2026
FortiBleed Gerbang Baru Serangan Ransomware FortiBleed Gerbang Baru Serangan Ransomware

FortiBleed Gerbang Baru Serangan Ransomware

July 7, 2026
Update yang Berubah Menjadi Malware Update yang Berubah Menjadi Malware

Update yang Berubah Menjadi Malware

July 7, 2026
Kejahatan Siber Memasuki Era Baru Kejahatan Siber Memasuki Era Baru

Kejahatan Siber Memasuki Era Baru

July 3, 2026

Lainnya

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun
4 min read
  • Ransomware

Ransomware Meningkat tetapi Pembayaran Tebusan Justru Menurun

July 10, 2026
Operasi Global Menargetkan Puluhan Ribu Organisasi Operasi Global Menargetkan Puluhan Ribu Organisasi
4 min read
  • Sektor Bisnis
  • Sektor Personal

Operasi Global Menargetkan Puluhan Ribu Organisasi

July 10, 2026
Ransomware JadePuffer Era Ransomware AI Ransomware JadePuffer Era Ransomware AI
5 min read
  • Ransomware
  • Teknologi

Ransomware JadePuffer Era Ransomware AI

July 10, 2026
Kualitas Email Phising Terus Meningkat Kualitas Email Phising Terus Meningkat
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Kualitas Email Phising Terus Meningkat

July 10, 2026
PROSPERITA IT News | DarkNews by AF themes.