Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware Globe Terinspirasi The Purge
  • Teknologi

Ransomware Globe Terinspirasi The Purge

3 min read

Credit image: Pixabay

Selama bulan Agustus, beberapa ransomware sudah beredar dengan berbagai trik dan jebakan, seperti ransomware Pokemon dan Mr. Robot, yang mengintegrasikan budaya pop ke dalam ransomware.

Ransomware Globe salah satunya, dimana pengembang malware terinspirasi oleh film trilogi The Purge yang cukup populer. Dengan menggunakan wallpaper dan menambahkan ekstensi .purge ke file terenkripsi.

Ransomware Globe adalah varian dari ransomware Purge yang dapat dikategorikan sebagai trojan enkripsi yang memiliki kemampuan menghindari deteksi karena modifikasi parameter runtime.

Seperti pendahulunya, Globe menyebar di kalangan pengguna PC melalui link corrupt dan file attachment pada spam email. Payload Ransomware Globe bisa menyamar sebagai file RAR, ZIP, DOCX, and PDF.

Aksi Globe tidak jauh berbeda dengan ransomware lain. ia mengenkripsi file korban dan kemudian menampilkan ransom note. Bedanya, tidak seperti ransomware lain, Globe menggunakan algoritma enkripsi Blowfish bukan enkripsi AES yang umum digunakan.

Ransomware Globe juga memanfaatkan mode Cipher Block Chaining untuk mematahkan upaya pengguna yang mencoba memecahkan kode mereka pada file terenkripsi. Lebih lanjut, untuk ransom note, mereka tidak menggunakan text dan html melainkan HTA atau aplikasi HTML.

globe

Metode Penyebaran

Metode yang digunakan Globe untuk menginfeksi korban dalam skala luas, mereka memanfaatkan spam email yang disebar secara luas dan random ke berbagai wilayah.

Sementara phishing email meniru email asli yang dikirm perusahaan atau individu untuk menipu pengguna agar membuka attachment atau mengunjungi link web.

Attachmen pada file yang dikirim melalui email biasanya akan terlihat sangat persuasif dan terlihat seperti file legitimate Microsoft Officce, Adobe Reader atau lainnya untuk semakin menyakinkan pengguna untuk membukanya.

Cara Kerja Enkripsi Globe

Setelah terinstal, ia akan memeriksa apakah komputer berjalan dalam Sandbox atau mesin virtual seperti Anubis, Virtualbox, VMware atau Virtual PC, apabila diketahui demikian, maka proses akan dimatikan.

Jika tidak, ransomware akan mulai mengenkripsi profile pengguna, drive lokal, folder share network, dan kemudian folder desktop korban.

Ketika menemukan file dengan ekstensi yang termasuk dalam 995 target ekstensi, ia akan mengenkripsi menggunakan enkripsi Blowfish dan menambahkan ekstensi .purge ke file terenkripsi.

Ketika ransomware mengenkripsi file, ia menciptakan ransom note dalam HTA yang disebut ‘How to restore files.hta, dalam folder yang sama dengan file terenkripsi.

Ia juga menciptakan autorun disebut ‘How to restore files’ yang secara otomatis membuka ransom note HTA yang berada dalam %UserProfile% saat korban login ke Windows.

selama proses enkripsi, ransomware menghapus Shadow Volume Copies dan menonaktifkan Windows Startuo Repair menggunakan perintah berikut:

vssadmin.exe Delete Shadows /All /Quiet

bcdedit.exe /set {default} recoveryenabled No

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
Selesai mengenkripsi komputer, ransomware membuka file How to restore files.hta dan menampilkannya ke hadapan korban.

Ransom note berisi ID unik untuk korban dan informasi kontak untuk pengembang malware yaitu email powerbase@tutanota.com dan alamat bitmessage BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5.

Ransom note memerintahkan korban untuk menghubungi pengembang malware dengan ID Personal mereka untuk mendapatkan instruski pembayaran.

Langkah penutup, ransomware akan mengubah wallpaper Windows untuk menampilkan background berisi karakter dari film The Purge: Election Year. Dalam wallpaper berisi pernyataan “You files are encrypted. Pay for decryption please” dan alamat email powerbase@tutanota.com.

Ransomware Debugging

Ada sebuah fitur menarik dari Ransomware Globe yaitu mode debug yang dapat digunakan untuk melangkah melalui setiap tahap proses enkripsi ransomware.

Untuk masuk ke mode debug, Anda perlu membuat Registry value khusus sebelum mengeksekusi ransomware tersebut. Value itu adalah sebagai berikut:

HKCU\Software\Globe\ “debug” = “YES”

Jika entri registry tercipta dan ransomware dijalankan, ia juga akan melakukannya dalam mode debug. Mode debug ini akan meminta agar berbagai tahapan dapat dimulai saat ransomware dieksekusi. Beberapa tahap ini dapat dilihat di bawah ini

  • Debug: Start Working
  • Debug: Start Working
  • Debug: Add to Autostart
  • Debug: Add to Autostart
  • Debug: Encrypt a file
  • Debug: Encrypt a file

Mode ini diciptakan untuk membantu pengembang malware debug aplikasi mereka, di saat yang sama, peneliti keamanan dapat dengan mudah menganalisa berbagai tahap dalam ransomware.

Sumber berita:

bleepingcomputer.com
sensorstechforum.com
enigmasoftware.com

Tags: anti virus super ringan ESET deteksi Ransomware ESET Indonesia Ransomware Ransomware Globe Super Ringan

Continue Reading

Previous: Android Botnet Pengontrol Akun Twitter
Next: OSX/keynap Menyebar melalui Aplikasi Signed Transmission

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.