Tidak bisa dipungkiri bagaimana ransomware makin terus mendominasi serangan siber di internet sejak memasuki tahun 2017, tidak pernah terlihat adanya penurunan intensitas serangan ransomware secara keseluruhan. Pengembang malware masih terus aktif bereksperimen menciptakan berbagai macam ransomware dengan berbagai spesifikasinya.
Dalam perjalananya banyak ransomware prematur ditemui dan gagal sebelum berkembang, namun tidak sedikit pula ransomware yang mampu tumbuh dan mengalami peningkatan kemampuan, terlebih lagi ransomware yang sudah lama kasak-kusuk di dunia maya, pengembang di belakangnya umumnya sudah lebih berpengalaman dalam memanfaatkan celah. Atau ransomware baru yang muncul dengan menggunakan nama yang sama dengan ransomware yang pernah ada untuk mengelabui korban atau peneliti keamanan seperti Erebus.
Ransomware Erebus pernah terlihat beraksi pada bulan September 2016 sebelum akhirnya menghilang, kemudian entah darimana tiba-tiba muncul kembali saat ini. Berdasar hasil penelitian yang dilakukan oleh para peneliti keamanan, apabila dilihat dari karakteristik luar yang ditemukan pada Erebus saat ini, terlihat bahwa ransomware ini ditulis ulang atau ransomware baru menggunakan nama yang sama ..
Sementara saat ini, masih belum diketahui bagaimana caranya Erebus didistribusikan, analisis ransomware menunjukkan beberapa fitur menarik. Yang pertama, dan paling terlihat adalah jumlah ang tebusan yang rendah $90 USD yang diminta oleh ransomware tersebut. Fitur lain yang menarik adalah penggunaan bypass UAC yang memungkinkan ransomware untuk dijalankan dengan hak admin tanpa menampilkan prompt UAC.
Bypass UAC
Saat installer Erebus dijalankan, installer tersebut juga akan memanfaatkan metode bypass User Account Control (UAC) sehingga korban tidak akan diminta untuk memungkinkan program untuk dijalankan dengan hak admin yang lebih tinggi. Hal ini dilakukan dengan menyalin dirinya ke sebuah file bernama acak dalam folder yang sama. Kemudian ia akan memodifikasi registry Windows untuk membajak yang berhubungan dengan ekstensi file .msc sehingga dapat meluncurkan nama acak Erebus tersebut.
Key yang dibajak adalah sebagai berikut:
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe
Erebus kemudian mengeksekusi eventvwr.exe (Event Viewer), yang pada gilirannya secara otomatis membuka file eventvwr.msc, di saat yang sama file .msc tidak lagi terkait dengan mmc.exe. Tetapi sekarang dengan executable Erebus bernama acak, Event Viewer akan meluncurkan Erebus. Sebagaimana Event Viewer berjalan dalam mode yang tinggi, peluncuran executable Erebus juga akan berjalan dengan hak yang sama, sehingga memungkinkannya untuk bypass User Account Control.
Enkripsi Erebus
Ketika Erebus dijalankan ia akan terhubung ke http://ipecho.net/plain dan http://ipinfo.io/country untuk menentukan alamat IP korban dan negara di mana mereka berada. Erebus kemudian akan mengunduh klien TOR dan menggunakannya untuk terhubung ke situs server Command & Control.
Erebus lalu mulai memindai komputer korban dan mencari jenis file tertentu. Ketika mendeteksi jenis file yang ditargetkan, ia akan mengenkripsi file menggunakan enkripsi AES. Daftar file yang menjadi target adalah sebagai berikut:
.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
Selama proses, Erebus juga menghapus Windows Volume Shadow Copies sehingga tidak dapat digunakan untuk memulihkan file. Perintah yang digunakan dieksekusi untuk menghapus adalah:
cmd.exe /C vssadmin delete shadows/all/quiet && exit
Bila telah selesai mengenkripsi komputer, ia akan menampilkan catatan tebusan yang terletak di Desktop disebut readme.html. Catatan tebusan ini berisi ID unik yang dapat digunakan untuk login ke situs pembayaran, daftar file terenkripsi, dan sebuah tombol yang akan membawa korban ke situs pembayaran TOR.
Erebus juga akan menampilkan kotak pesan pada desktop Windows memperingatkan korban bahwa file mereka telah dienkripsi. Ketika korban mengklik tombol Recover my files mereka akan dibawa ke situs pembayaran Erebus di TOR, di mana mereka bisa mendapatkan instruksi pembayaran. Pada saat ini jumlah uang tebusan sebesar ke 0,085 Bitcoins, atau kira-kira $ 90 USD setara dengan Rp1.200.000.
Sumber berita:
www.bleepingcomputer.com
