Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware Globe Terinspirasi The Purge
  • Teknologi

Ransomware Globe Terinspirasi The Purge

3 min read

Credit image: Pixabay

Selama bulan Agustus, beberapa ransomware sudah beredar dengan berbagai trik dan jebakan, seperti ransomware Pokemon dan Mr. Robot, yang mengintegrasikan budaya pop ke dalam ransomware.

Ransomware Globe salah satunya, dimana pengembang malware terinspirasi oleh film trilogi The Purge yang cukup populer. Dengan menggunakan wallpaper dan menambahkan ekstensi .purge ke file terenkripsi.

Ransomware Globe adalah varian dari ransomware Purge yang dapat dikategorikan sebagai trojan enkripsi yang memiliki kemampuan menghindari deteksi karena modifikasi parameter runtime.

Seperti pendahulunya, Globe menyebar di kalangan pengguna PC melalui link corrupt dan file attachment pada spam email. Payload Ransomware Globe bisa menyamar sebagai file RAR, ZIP, DOCX, and PDF.

Aksi Globe tidak jauh berbeda dengan ransomware lain. ia mengenkripsi file korban dan kemudian menampilkan ransom note. Bedanya, tidak seperti ransomware lain, Globe menggunakan algoritma enkripsi Blowfish bukan enkripsi AES yang umum digunakan.

Ransomware Globe juga memanfaatkan mode Cipher Block Chaining untuk mematahkan upaya pengguna yang mencoba memecahkan kode mereka pada file terenkripsi. Lebih lanjut, untuk ransom note, mereka tidak menggunakan text dan html melainkan HTA atau aplikasi HTML.

globe

Metode Penyebaran

Metode yang digunakan Globe untuk menginfeksi korban dalam skala luas, mereka memanfaatkan spam email yang disebar secara luas dan random ke berbagai wilayah.

Sementara phishing email meniru email asli yang dikirm perusahaan atau individu untuk menipu pengguna agar membuka attachment atau mengunjungi link web.

Attachmen pada file yang dikirim melalui email biasanya akan terlihat sangat persuasif dan terlihat seperti file legitimate Microsoft Officce, Adobe Reader atau lainnya untuk semakin menyakinkan pengguna untuk membukanya.

Cara Kerja Enkripsi Globe

Setelah terinstal, ia akan memeriksa apakah komputer berjalan dalam Sandbox atau mesin virtual seperti Anubis, Virtualbox, VMware atau Virtual PC, apabila diketahui demikian, maka proses akan dimatikan.

Jika tidak, ransomware akan mulai mengenkripsi profile pengguna, drive lokal, folder share network, dan kemudian folder desktop korban.

Ketika menemukan file dengan ekstensi yang termasuk dalam 995 target ekstensi, ia akan mengenkripsi menggunakan enkripsi Blowfish dan menambahkan ekstensi .purge ke file terenkripsi.

Ketika ransomware mengenkripsi file, ia menciptakan ransom note dalam HTA yang disebut ‘How to restore files.hta, dalam folder yang sama dengan file terenkripsi.

Ia juga menciptakan autorun disebut ‘How to restore files’ yang secara otomatis membuka ransom note HTA yang berada dalam %UserProfile% saat korban login ke Windows.

selama proses enkripsi, ransomware menghapus Shadow Volume Copies dan menonaktifkan Windows Startuo Repair menggunakan perintah berikut:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Selesai mengenkripsi komputer, ransomware membuka file How to restore files.hta dan menampilkannya ke hadapan korban.

Ransom note berisi ID unik untuk korban dan informasi kontak untuk pengembang malware yaitu email powerbase@tutanota.com dan alamat bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5.

Ransom note memerintahkan korban untuk menghubungi pengembang malware dengan ID Personal mereka untuk mendapatkan instruski pembayaran.

Langkah penutup, ransomware akan mengubah wallpaper Windows untuk menampilkan background berisi karakter dari film The Purge: Election Year. Dalam wallpaper berisi pernyataan “You files are encrypted. Pay for decryption please” dan alamat email powerbase@tutanota.com.

Ransomware Debugging

Ada sebuah fitur menarik dari Ransomware Globe yaitu mode debug yang dapat digunakan untuk melangkah melalui setiap tahap proses enkripsi ransomware.

Untuk masuk ke mode debug, Anda perlu membuat Registry value khusus sebelum mengeksekusi ransomware tersebut. Value itu adalah sebagai berikut:

HKCU\Software\Globe\ “debug” = “YES”

Jika entri registry tercipta dan ransomware dijalankan, ia juga akan melakukannya dalam mode debug. Mode debug ini akan meminta agar berbagai tahapan dapat dimulai saat ransomware dieksekusi. Beberapa tahap ini dapat dilihat di bawah ini

  • Debug: Start Working
  • Debug: Start Working
  • Debug: Add to Autostart
  • Debug: Add to Autostart
  • Debug: Encrypt a file
  • Debug: Encrypt a file

Mode ini diciptakan untuk membantu pengembang malware debug aplikasi mereka, di saat yang sama, peneliti keamanan dapat dengan mudah menganalisa berbagai tahap dalam ransomware.

Sumber berita:

bleepingcomputer.com
sensorstechforum.com
enigmasoftware.com

Tags: anti virus super ringan ESET deteksi Ransomware ESET Indonesia Ransomware Ransomware Globe Super Ringan

Continue Reading

Previous: Android Botnet Pengontrol Akun Twitter
Next: OSX/keynap Menyebar melalui Aplikasi Signed Transmission

Related Stories

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
5 min read
  • Teknologi

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat

August 1, 2025
Server Lokal vs Cloud Mana yang Lebih Aman Server Lokal vs Cloud Mana yang Lebih Aman
6 min read
  • Sektor Bisnis
  • Teknologi

Server Lokal vs Cloud Mana yang Lebih Aman

August 1, 2025
Melacak Jejak Panggilan Penipuan yang Semakin Canggih Melacak Jejak Panggilan Penipuan yang Semakin Canggih
6 min read
  • Teknologi

Melacak Jejak Panggilan Penipuan yang Semakin Canggih

July 31, 2025

Recent Posts

  • Panduan Bersih-Bersih Komputer Setelah Kena Malware
  • Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
  • Server Lokal vs Cloud Mana yang Lebih Aman
  • Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda
  • Melacak Jejak Panggilan Penipuan yang Semakin Canggih
  • Modus Serangan yang Sedang Marak
  • Ekstensi Browser Bisa Jadi Pintu Masuk Peretas
  • ESET Temukan Dua Eksploitasi Zero Day yang Mengancam Dunia
  • Jebakan CAPTCHA Palsu
  • Implikasi Hukum dan Tren Masa Depan Spyware Seluler

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Panduan Bersih-Bersih Komputer Setelah Kena Malware Panduan Bersih-Bersih Komputer Setelah Kena Malware
5 min read
  • Tips & Tricks

Panduan Bersih-Bersih Komputer Setelah Kena Malware

August 1, 2025
Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat
5 min read
  • Teknologi

Risiko Keamanan di Balik Jailbreaking dan Rooting Perangkat

August 1, 2025
Server Lokal vs Cloud Mana yang Lebih Aman Server Lokal vs Cloud Mana yang Lebih Aman
6 min read
  • Sektor Bisnis
  • Teknologi

Server Lokal vs Cloud Mana yang Lebih Aman

August 1, 2025
Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda
4 min read
  • Mobile Security
  • Sektor Personal

Jailbreaking dan Rooting Mengubah Keamanan Perangkat Anda

July 31, 2025

Copyright © All rights reserved. | DarkNews by AF themes.