Ransomware Globe Terinspirasi The Purge

Selama bulan Agustus, beberapa ransomware sudah beredar dengan berbagai trik dan jebakan, seperti ransomware Pokemon dan Mr. Robot, yang mengintegrasikan budaya pop ke dalam ransomware.

Ransomware Globe salah satunya, dimana pengembang malware terinspirasi oleh film trilogi The Purge yang cukup populer. Dengan menggunakan wallpaper dan menambahkan ekstensi .purge ke file terenkripsi.

Ransomware Globe adalah varian dari ransomware Purge yang dapat dikategorikan sebagai trojan enkripsi yang memiliki kemampuan menghindari deteksi karena modifikasi parameter runtime.

Seperti pendahulunya, Globe menyebar di kalangan pengguna PC melalui link corrupt dan file attachment pada spam email. Payload Ransomware Globe bisa menyamar sebagai file RAR, ZIP, DOCX, and PDF.

Aksi Globe tidak jauh berbeda dengan ransomware lain. ia mengenkripsi file korban dan kemudian menampilkan ransom note. Bedanya, tidak seperti ransomware lain, Globe menggunakan algoritma enkripsi Blowfish bukan enkripsi AES yang umum digunakan.

Ransomware Globe juga memanfaatkan mode Cipher Block Chaining untuk mematahkan upaya pengguna yang mencoba memecahkan kode mereka pada file terenkripsi. Lebih lanjut, untuk ransom note, mereka tidak menggunakan text dan html melainkan HTA atau aplikasi HTML.

Metode Penyebaran

Metode yang digunakan Globe untuk menginfeksi korban dalam skala luas, mereka memanfaatkan spam email yang disebar secara luas dan random ke berbagai wilayah.

Sementara phishing email meniru email asli yang dikirm perusahaan atau individu untuk menipu pengguna agar membuka attachment atau mengunjungi link web.

Attachmen pada file yang dikirim melalui email biasanya akan terlihat sangat persuasif dan terlihat seperti file legitimate Microsoft Officce, Adobe Reader atau lainnya untuk semakin menyakinkan pengguna untuk membukanya.

Cara Kerja Enkripsi Globe

Setelah terinstal, ia akan memeriksa apakah komputer berjalan dalam Sandbox atau mesin virtual seperti Anubis, Virtualbox, VMware atau Virtual PC, apabila diketahui demikian, maka proses akan dimatikan.

Jika tidak, ransomware akan mulai mengenkripsi profile pengguna, drive lokal, folder share network, dan kemudian folder desktop korban.

Ketika menemukan file dengan ekstensi yang termasuk dalam 995 target ekstensi, ia akan mengenkripsi menggunakan enkripsi Blowfish dan menambahkan ekstensi .purge ke file terenkripsi.

Ketika ransomware mengenkripsi file, ia menciptakan ransom note dalam HTA yang disebut ‘How to restore files.hta, dalam folder yang sama dengan file terenkripsi.

Ia juga menciptakan autorun disebut ‘How to restore files’ yang secara otomatis membuka ransom note HTA yang berada dalam %UserProfile% saat korban login ke Windows.

selama proses enkripsi, ransomware menghapus Shadow Volume Copies dan menonaktifkan Windows Startuo Repair menggunakan perintah berikut:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Selesai mengenkripsi komputer, ransomware membuka file How to restore files.hta dan menampilkannya ke hadapan korban.

Ransom note berisi ID unik untuk korban dan informasi kontak untuk pengembang malware yaitu email powerbase@tutanota.com dan alamat bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5.

Ransom note memerintahkan korban untuk menghubungi pengembang malware dengan ID Personal mereka untuk mendapatkan instruski pembayaran.

Langkah penutup, ransomware akan mengubah wallpaper Windows untuk menampilkan background berisi karakter dari film The Purge: Election Year. Dalam wallpaper berisi pernyataan “You files are encrypted. Pay for decryption please” dan alamat email powerbase@tutanota.com.

Ransomware Debugging

Ada sebuah fitur menarik dari Ransomware Globe yaitu mode debug yang dapat digunakan untuk melangkah melalui setiap tahap proses enkripsi ransomware.

Untuk masuk ke mode debug, Anda perlu membuat Registry value khusus sebelum mengeksekusi ransomware tersebut. Value itu adalah sebagai berikut:

HKCU\Software\Globe\ “debug” = “YES”

Jika entri registry tercipta dan ransomware dijalankan, ia juga akan melakukannya dalam mode debug. Mode debug ini akan meminta agar berbagai tahapan dapat dimulai saat ransomware dieksekusi. Beberapa tahap ini dapat dilihat di bawah ini

• Debug: Start Working
• Debug: Start Working
• Debug: Add to Autostart
• Debug: Add to Autostart
• Debug: Encrypt a file
• Debug: Encrypt a file

Mode ini diciptakan untuk membantu pengembang malware debug aplikasi mereka, di saat yang sama, peneliti keamanan dapat dengan mudah menganalisa berbagai tahap dalam ransomware.

Sumber berita:

bleepingcomputer.com
sensorstechforum.com
enigmasoftware.com