Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware Erebus Miliki Fitur Bypass UAC
  • Teknologi

Ransomware Erebus Miliki Fitur Bypass UAC

3 min read

Credit image: Pixabay

Tidak bisa dipungkiri bagaimana ransomware makin terus mendominasi serangan siber di internet sejak memasuki tahun 2017, tidak pernah terlihat adanya penurunan intensitas serangan ransomware secara keseluruhan. Pengembang malware masih terus aktif bereksperimen menciptakan berbagai macam ransomware dengan berbagai spesifikasinya.

Dalam perjalananya banyak ransomware prematur ditemui dan gagal sebelum berkembang, namun tidak sedikit pula ransomware yang mampu tumbuh dan mengalami peningkatan kemampuan, terlebih lagi ransomware yang sudah lama kasak-kusuk di dunia maya, pengembang di belakangnya umumnya sudah lebih berpengalaman dalam memanfaatkan celah. Atau ransomware baru yang muncul dengan menggunakan nama yang sama dengan ransomware yang pernah ada untuk mengelabui korban atau peneliti keamanan seperti Erebus.

Ransomware Erebus pernah terlihat beraksi pada bulan September 2016 sebelum akhirnya menghilang, kemudian entah darimana tiba-tiba muncul kembali saat ini. Berdasar hasil penelitian yang dilakukan oleh para peneliti keamanan, apabila dilihat dari karakteristik luar yang ditemukan pada Erebus saat ini, terlihat bahwa ransomware ini ditulis ulang atau ransomware baru menggunakan nama yang sama ..

Sementara saat ini, masih belum diketahui bagaimana caranya Erebus didistribusikan, analisis ransomware menunjukkan beberapa fitur menarik. Yang pertama, dan paling terlihat adalah jumlah ang tebusan yang rendah $90 USD yang diminta oleh ransomware tersebut. Fitur lain yang menarik adalah penggunaan bypass UAC yang memungkinkan ransomware untuk dijalankan dengan hak admin tanpa menampilkan prompt UAC.

Bypass UAC

Saat installer Erebus dijalankan, installer tersebut juga akan memanfaatkan metode bypass User Account Control (UAC) sehingga korban tidak akan diminta untuk memungkinkan program untuk dijalankan dengan hak admin yang lebih tinggi.

Hal ini dilakukan dengan menyalin dirinya ke sebuah file bernama acak dalam folder yang sama. Kemudian ia akan memodifikasi registry Windows untuk membajak yang berhubungan dengan ekstensi file .msc sehingga dapat meluncurkan nama acak Erebus tersebut.

Key yang dibajak adalah sebagai berikut:

HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe

Erebus kemudian mengeksekusi eventvwr.exe (Event Viewer), yang pada gilirannya secara otomatis membuka file eventvwr.msc, di saat yang sama file .msc tidak lagi terkait dengan mmc.exe. Tetapi sekarang dengan executable Erebus bernama acak, Event Viewer akan meluncurkan Erebus. Sebagaimana Event Viewer berjalan dalam mode yang tinggi, peluncuran executable Erebus juga akan berjalan dengan hak yang sama, sehingga memungkinkannya untuk bypass User Account Control.

Enkripsi Erebus

Ketika Erebus dijalankan ia akan terhubung ke http://ipecho.net/plain dan http://ipinfo.io/country untuk menentukan alamat IP korban dan negara di mana mereka berada. Erebus kemudian akan mengunduh klien TOR dan menggunakannya untuk terhubung ke situs server Command & Control.

Erebus lalu mulai memindai komputer korban dan mencari jenis file tertentu. Ketika mendeteksi jenis file yang ditargetkan, ia akan mengenkripsi file menggunakan enkripsi AES. Daftar file yang menjadi target adalah sebagai berikut:

.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

Selama proses, Erebus juga menghapus Windows Volume Shadow Copies sehingga tidak dapat digunakan untuk memulihkan file. Perintah yang digunakan dieksekusi untuk menghapus adalah:

cmd.exe /C vssadmin delete shadows/all/quiet && exit

Bila telah selesai mengenkripsi komputer, ia akan menampilkan catatan tebusan yang terletak di Desktop disebut readme.html. Catatan tebusan ini berisi ID unik yang dapat digunakan untuk login ke situs pembayaran, daftar file terenkripsi, dan sebuah tombol yang akan membawa korban ke situs pembayaran TOR.

Erebus juga akan menampilkan kotak pesan pada desktop Windows memperingatkan korban bahwa file mereka telah dienkripsi. Ketika korban mengklik tombol Recover my files mereka akan dibawa ke situs pembayaran Erebus di TOR, di mana mereka bisa mendapatkan instruksi pembayaran. Pada saat ini jumlah uang tebusan sebesar ke 0,085 Bitcoins, atau kira-kira $ 90 USD setara dengan Rp1.200.000.

Sumber berita:

www.bleepingcomputer.com

Post navigation

Previous Trollware Cancer Tidak Mematikan tapi Menyebalkan
Next Indonesia, Surganya Peretas?

Related Stories

Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas

October 17, 2025
Infrastruktur Dunia Terancam Kerentanan Sixnet RTU Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
3 min read
  • Sektor Bisnis
  • Teknologi

Infrastruktur Dunia Terancam Kerentanan Sixnet RTU

October 17, 2025
Segera Update Google Chrome untuk Hindari Serangan Peretas Segera Update Google Chrome untuk Hindari Serangan Peretas
3 min read
  • Sektor Personal
  • Teknologi

Segera Update Google Chrome untuk Hindari Serangan Peretas

October 16, 2025

Recent Posts

  • Hati-Hati! Situs WordPress Jadi Sarang Infostealer
  • Membongkar Cara Kerja Peretasan Psikologis
  • Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
  • Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
  • Bahaya Memotong Anggaran Keamanan Siber
  • Segera Update Google Chrome untuk Hindari Serangan Peretas
  • Aplikasi Tanpa Izin Bisa Curi Isi Layar Ponsel Android
  • TigerJack Target Baru Curi Kripto
  • Grokking Saat AI Sebarkan Tautan Phising
  • Worm Canggih Curi Data Bank dari WhatsApp

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hati-Hati! Situs WordPress Jadi Sarang Infostealer Hati-Hati! Situs WordPress Jadi Sarang Infostealer
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hati-Hati! Situs WordPress Jadi Sarang Infostealer

October 20, 2025
Membongkar Cara Kerja Peretasan Psikologis Membongkar Cara Kerja Peretasan Psikologis
3 min read
  • Sektor Personal
  • Tips & Tricks

Membongkar Cara Kerja Peretasan Psikologis

October 20, 2025
Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Hati-Hati! Helpdesk Anda Jadi Target Utama Peretas

October 17, 2025
Infrastruktur Dunia Terancam Kerentanan Sixnet RTU Infrastruktur Dunia Terancam Kerentanan Sixnet RTU
3 min read
  • Sektor Bisnis
  • Teknologi

Infrastruktur Dunia Terancam Kerentanan Sixnet RTU

October 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.