Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Personal
  • Ransomware PowerShell Masalah Serius Dunia Siber
  • Ransomware
  • Sektor Personal

Ransomware PowerShell Masalah Serius Dunia Siber

3 min read

Credit image: Pixabay

Korban ransomware FTCode sekarang memiliki satu hal lagi yang perlu dikhawatirkan dengan malware yang telah ditingkatkan kemampuannya sehingga juga mampu mencuri kredensial pengguna yang disimpan dari email client dan browser web.

FTCode yang dikenali ESET sebagai PowerShell/Filecoder.V adalah ransomware berbasis PowerShell pertama kali ditemukan pada tahun 2013, sebuah malware yang muncul kembali pada Oktober 2019 sebagai muatan terakhir dalam kampanye email spam yang belum lama ini menyebar masif.

Karena sepenuhnya dikembangkan di PowerShell memungkinkannya untuk mengenkripsi perangkat targetnya tanpa harus mengunduh komponen tambahan, sementara juga membuatnya sangat mudah bagi pengembangnya untuk menambahkan fungsionalitas baru.

Fungsionalitas Baru FTCode

Dengan berbasis PowerShell memudahkan pengembang ransomware mensuplai fungsi-fungsi baru sesuai dengan kebutuhannya, berikut merupakan beberapa fungsionalitas yang baru saja ditambahkan:

  • Fungsi pencuri info yang baru ditambahkan memungkinkan FTCode untuk memanen dan mengekstrak kredensial yang disimpan sebelum mengenkripsi file korbannya.
  • FTCode sekarang mampu mencuri kredensial yang disimpan dari kedua browser web (Internet Explorer, Mozilla Firefox, Google Chrome) dan klien email seperti Mozilla Thunderbird dan Microsoft Outlook.
  • Cara ransomware ini mengumpulkan kredensial berbeda untuk masing-masing dari lima aplikasi, secara langsung mengakses kunci registri dalam kasus Internet Explorer dan Microsoft Outlook, sedangkan dalam kasus Mozilla Firefox, Mozilla Thunderbird, dan Google Chrome masuk ke folder tempat aplikasi menyimpan kredensial.
  • Setelah informasi dipanen, FTCode akan mengirimkannya ke operatornya menggunakan permintaan POST yang dikirim ke server Command & Control (C2), dengan nama pengguna dan kata sandi disandikan menggunakan skema penyandian Base64.

Kemampuan ini tidak ada dalam varian sebelumnya. Jadi kita bisa melihat bahwa pengembang ransomware akan selalu punya kesempatan untuk menyempurnakan malwarenya, dengan terus meningkatkan kemampuannya, mengupdate berbagai keperluan yang bisa disesuaikan, membuat malware semakin canggih sejalan waktu.

FTCode Bangkit dari Kubur

Mulai 26 September, serangkaian laporan tentang ransomware baru didistribusikan melalui spam dan diberi nama FTCode.

Berdasar informasi dan investigasi diketahui bahwa sampel diteliti memiliki kesamaan seperti yang terdeteksi pada 2013 dan kemungkinan bahwa FTCode dihidupkan kembali dalam serangan baru-baru ini, karena PowerShell terintegrasi secara default pada perangkat Windows yang menjalankan setidaknya Windows 7 atau Windows Server 2008 R2.

FTCode ransomware tiba di komputer korbannya melalui email spam yang berisi dokumen Word jahat yang disamarkan sebagai faktur, pemindaian dokumen, dan resume, yang akan menghapus pengunduh malware JasperLoader dan kemudian mengenkripsi perangkat.

Namun, enkripsi tidak akan terjadi sampai malware mendapatkan persistensi, yaitu mampu terus bertahan dalam komputer meski sudah di-reboot sekalipun, dengan menambahkan tugas yang dijadwalkan dan jalan pintas ke dalam folder Startup.

Tepat sebelum mulai mengenkripsi file, FTCode akan memeriksa file C:\Users\Public\OracleKit\w00log03.tmp yang bertindak sebagai killswitch. Jika file itu tidak ditemukan, FTCode menghasilkan kunci enkripsi yang dikirim ke server C2 pelaku.

Pada tahap berikutnya, ransomware juga menonaktifkan lingkungan pemulihan Windows dan menghapus Shadow Volume Copies dan cadangan Windows untuk membuat pemulihan data menjadi tidak mungkin terlaksana tanpa membayar tebusan.

Selanjutnya, FTCode mulai mengenkripsi file dengan menambahkan ekstensi .FTCODE ke semua file yang terkunci dan READ_ME_NOW.htm catatan tebusan ke setiap folder. Para peretas meminta uang tebusan $500 untuk mengirimkan decryptor kepada korban mereka, namun, dari investigasi menunjukkan ada laporan pembayaran tebusan dan tidak mendapatkan decryptor.

Sampai saat ini para peneliti keamanan masih berusaha keras untuk dapat menciptakan antidotenya, mencari jalan membuat decryptor sebagai penawar. Bagi pengguna ESET tidak perlu khawatirkan karena sudah terlindungi dari serangan ransomware ini. Meski demikian, untuk berjaga-jaga dari segala kemungkinan terburuk, pengguna harus tetap menjalankan praktik keamanan terbaik, salah satunya dengan melakukan pencadangan data.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET Prosperita Ransomware Ransomware FTCode Ransomware PowerShell

Continue Reading

Previous: Tips Menjelajah Internet Anonim
Next: Atasi Ancaman Siber Ikuti 2 Langkah Dasar Ini

Related Stories

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
XSS Ancaman Tersembunyi di Webmail XSS Ancaman Tersembunyi di Webmail
4 min read
  • Sektor Bisnis
  • Sektor Personal

XSS Ancaman Tersembunyi di Webmail

June 24, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.