Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware Globe Terinspirasi The Purge
  • Teknologi

Ransomware Globe Terinspirasi The Purge

3 min read

Credit image: Pixabay

Selama bulan Agustus, beberapa ransomware sudah beredar dengan berbagai trik dan jebakan, seperti ransomware Pokemon dan Mr. Robot, yang mengintegrasikan budaya pop ke dalam ransomware.

Ransomware Globe salah satunya, dimana pengembang malware terinspirasi oleh film trilogi The Purge yang cukup populer. Dengan menggunakan wallpaper dan menambahkan ekstensi .purge ke file terenkripsi.

Ransomware Globe adalah varian dari ransomware Purge yang dapat dikategorikan sebagai trojan enkripsi yang memiliki kemampuan menghindari deteksi karena modifikasi parameter runtime.

Seperti pendahulunya, Globe menyebar di kalangan pengguna PC melalui link corrupt dan file attachment pada spam email. Payload Ransomware Globe bisa menyamar sebagai file RAR, ZIP, DOCX, and PDF.

Aksi Globe tidak jauh berbeda dengan ransomware lain. ia mengenkripsi file korban dan kemudian menampilkan ransom note. Bedanya, tidak seperti ransomware lain, Globe menggunakan algoritma enkripsi Blowfish bukan enkripsi AES yang umum digunakan.

Ransomware Globe juga memanfaatkan mode Cipher Block Chaining untuk mematahkan upaya pengguna yang mencoba memecahkan kode mereka pada file terenkripsi. Lebih lanjut, untuk ransom note, mereka tidak menggunakan text dan html melainkan HTA atau aplikasi HTML.

globe

Metode Penyebaran

Metode yang digunakan Globe untuk menginfeksi korban dalam skala luas, mereka memanfaatkan spam email yang disebar secara luas dan random ke berbagai wilayah.

Sementara phishing email meniru email asli yang dikirm perusahaan atau individu untuk menipu pengguna agar membuka attachment atau mengunjungi link web.

Attachmen pada file yang dikirim melalui email biasanya akan terlihat sangat persuasif dan terlihat seperti file legitimate Microsoft Officce, Adobe Reader atau lainnya untuk semakin menyakinkan pengguna untuk membukanya.

Cara Kerja Enkripsi Globe

Setelah terinstal, ia akan memeriksa apakah komputer berjalan dalam Sandbox atau mesin virtual seperti Anubis, Virtualbox, VMware atau Virtual PC, apabila diketahui demikian, maka proses akan dimatikan.

Jika tidak, ransomware akan mulai mengenkripsi profile pengguna, drive lokal, folder share network, dan kemudian folder desktop korban.

Ketika menemukan file dengan ekstensi yang termasuk dalam 995 target ekstensi, ia akan mengenkripsi menggunakan enkripsi Blowfish dan menambahkan ekstensi .purge ke file terenkripsi.

Ketika ransomware mengenkripsi file, ia menciptakan ransom note dalam HTA yang disebut ‘How to restore files.hta, dalam folder yang sama dengan file terenkripsi.

Ia juga menciptakan autorun disebut ‘How to restore files’ yang secara otomatis membuka ransom note HTA yang berada dalam %UserProfile% saat korban login ke Windows.

selama proses enkripsi, ransomware menghapus Shadow Volume Copies dan menonaktifkan Windows Startuo Repair menggunakan perintah berikut:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Selesai mengenkripsi komputer, ransomware membuka file How to restore files.hta dan menampilkannya ke hadapan korban.

Ransom note berisi ID unik untuk korban dan informasi kontak untuk pengembang malware yaitu email powerbase@tutanota.com dan alamat bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5.

Ransom note memerintahkan korban untuk menghubungi pengembang malware dengan ID Personal mereka untuk mendapatkan instruski pembayaran.

Langkah penutup, ransomware akan mengubah wallpaper Windows untuk menampilkan background berisi karakter dari film The Purge: Election Year. Dalam wallpaper berisi pernyataan “You files are encrypted. Pay for decryption please” dan alamat email powerbase@tutanota.com.

Ransomware Debugging

Ada sebuah fitur menarik dari Ransomware Globe yaitu mode debug yang dapat digunakan untuk melangkah melalui setiap tahap proses enkripsi ransomware.

Untuk masuk ke mode debug, Anda perlu membuat Registry value khusus sebelum mengeksekusi ransomware tersebut. Value itu adalah sebagai berikut:

HKCU\Software\Globe\ “debug” = “YES”

Jika entri registry tercipta dan ransomware dijalankan, ia juga akan melakukannya dalam mode debug. Mode debug ini akan meminta agar berbagai tahapan dapat dimulai saat ransomware dieksekusi. Beberapa tahap ini dapat dilihat di bawah ini

  • Debug: Start Working
  • Debug: Start Working
  • Debug: Add to Autostart
  • Debug: Add to Autostart
  • Debug: Encrypt a file
  • Debug: Encrypt a file

Mode ini diciptakan untuk membantu pengembang malware debug aplikasi mereka, di saat yang sama, peneliti keamanan dapat dengan mudah menganalisa berbagai tahap dalam ransomware.

Sumber berita:

bleepingcomputer.com
sensorstechforum.com
enigmasoftware.com

Tags: anti virus super ringan ESET deteksi Ransomware ESET Indonesia Ransomware Ransomware Globe Super Ringan

Continue Reading

Previous: Android Botnet Pengontrol Akun Twitter
Next: OSX/keynap Menyebar melalui Aplikasi Signed Transmission

Related Stories

ClickJacking Kerentanan Baru pada Manajer Kata Sandi ClickJacking Kerentanan Baru pada Manajer Kata Sandi
2 min read
  • Teknologi

ClickJacking Kerentanan Baru pada Manajer Kata Sandi

August 22, 2025
Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas
3 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas

August 22, 2025
Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik
2 min read
  • Sektor Bisnis
  • Teknologi

Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik

August 21, 2025

Recent Posts

  • Mengatasi FOMO pada Anak di Era Digital
  • ClickJacking Kerentanan Baru pada Manajer Kata Sandi
  • Jerat Penipuan Finansial Deepfake
  • Trojan GodRAT Khusus Targetkan Lembaga Keuangan
  • Perilaku Kamera Yang Berada di Bawah Pengaruh Peretas
  • Kode Sumber Trojan Perbankan ERMAC V3.0 Bocor ke Publik
  • Pengelabuan Karakter Unik Menipu
  • Indikasi Spyware di Dalam Ponsel
  • Ancaman Baru Berbahaya Sextortion Berbasis AI
  • Pentingnya Tim dan Respons yang Tepat dalam Keamanan Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengatasi FOMO pada Anak di Era Digital Mengatasi FOMO pada Anak di Era Digital
3 min read
  • Edukasi
  • Sektor Personal

Mengatasi FOMO pada Anak di Era Digital

August 22, 2025
ClickJacking Kerentanan Baru pada Manajer Kata Sandi ClickJacking Kerentanan Baru pada Manajer Kata Sandi
2 min read
  • Teknologi

ClickJacking Kerentanan Baru pada Manajer Kata Sandi

August 22, 2025
Jerat Penipuan Finansial Deepfake Jerat Penipuan Finansial Deepfake
3 min read
  • Sektor Bisnis
  • Sektor Personal

Jerat Penipuan Finansial Deepfake

August 22, 2025
Trojan GodRAT Khusus Targetkan Lembaga Keuangan Trojan GodRAT Khusus Targetkan Lembaga Keuangan
3 min read
  • Sektor Bisnis

Trojan GodRAT Khusus Targetkan Lembaga Keuangan

August 22, 2025

Copyright © All rights reserved. | DarkNews by AF themes.