Skip to content

PROSPERITA IT NEWS

Connect with Us

Social menu is not set. You need to create menu and assign it to Social Menu on Menu Settings.

Tags

2FA anti bocor data anti maling antivirus Andal antivirus andalan Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super antivirus superb Antivirus Super Ringan anti virus super ringan Antivirus Tangguh Antivirus Terbaik Antivirus Top BacaPikirshare BacaPikriShare Cyber security Data Security Edukasi KOnsumen Edukasi Siber ESET ESET deteksi Ransomware ESET Indonesia ESET PArental Control GreyCortex Keamanan Komputer Malware News prosperita Parental Control phising Prosperita Ransomware Riset ESET Super Ringan tips Tips & Trik Trojan vimanamail

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks
  • Uncategorized
  • Home
  • Home
  • Sektor Personal
  • Ransomware PowerShell Masalah Serius Dunia Siber
  • Ransomware
  • Sektor Personal

Ransomware PowerShell Masalah Serius Dunia Siber

3 min read

Credit image: Pixabay

Korban ransomware FTCode sekarang memiliki satu hal lagi yang perlu dikhawatirkan dengan malware yang telah ditingkatkan kemampuannya sehingga juga mampu mencuri kredensial pengguna yang disimpan dari email client dan browser web.

FTCode yang dikenali ESET sebagai PowerShell/Filecoder.V adalah ransomware berbasis PowerShell pertama kali ditemukan pada tahun 2013, sebuah malware yang muncul kembali pada Oktober 2019 sebagai muatan terakhir dalam kampanye email spam yang belum lama ini menyebar masif.

Karena sepenuhnya dikembangkan di PowerShell memungkinkannya untuk mengenkripsi perangkat targetnya tanpa harus mengunduh komponen tambahan, sementara juga membuatnya sangat mudah bagi pengembangnya untuk menambahkan fungsionalitas baru.

Fungsionalitas Baru FTCode

Dengan berbasis PowerShell memudahkan pengembang ransomware mensuplai fungsi-fungsi baru sesuai dengan kebutuhannya, berikut merupakan beberapa fungsionalitas yang baru saja ditambahkan:

  • Fungsi pencuri info yang baru ditambahkan memungkinkan FTCode untuk memanen dan mengekstrak kredensial yang disimpan sebelum mengenkripsi file korbannya.
  • FTCode sekarang mampu mencuri kredensial yang disimpan dari kedua browser web (Internet Explorer, Mozilla Firefox, Google Chrome) dan klien email seperti Mozilla Thunderbird dan Microsoft Outlook.
  • Cara ransomware ini mengumpulkan kredensial berbeda untuk masing-masing dari lima aplikasi, secara langsung mengakses kunci registri dalam kasus Internet Explorer dan Microsoft Outlook, sedangkan dalam kasus Mozilla Firefox, Mozilla Thunderbird, dan Google Chrome masuk ke folder tempat aplikasi menyimpan kredensial.
  • Setelah informasi dipanen, FTCode akan mengirimkannya ke operatornya menggunakan permintaan POST yang dikirim ke server Command & Control (C2), dengan nama pengguna dan kata sandi disandikan menggunakan skema penyandian Base64.

Kemampuan ini tidak ada dalam varian sebelumnya. Jadi kita bisa melihat bahwa pengembang ransomware akan selalu punya kesempatan untuk menyempurnakan malwarenya, dengan terus meningkatkan kemampuannya, mengupdate berbagai keperluan yang bisa disesuaikan, membuat malware semakin canggih sejalan waktu.

FTCode Bangkit dari Kubur

Mulai 26 September, serangkaian laporan tentang ransomware baru didistribusikan melalui spam dan diberi nama FTCode.

Berdasar informasi dan investigasi diketahui bahwa sampel diteliti memiliki kesamaan seperti yang terdeteksi pada 2013 dan kemungkinan bahwa FTCode dihidupkan kembali dalam serangan baru-baru ini, karena PowerShell terintegrasi secara default pada perangkat Windows yang menjalankan setidaknya Windows 7 atau Windows Server 2008 R2.

FTCode ransomware tiba di komputer korbannya melalui email spam yang berisi dokumen Word jahat yang disamarkan sebagai faktur, pemindaian dokumen, dan resume, yang akan menghapus pengunduh malware JasperLoader dan kemudian mengenkripsi perangkat.

Namun, enkripsi tidak akan terjadi sampai malware mendapatkan persistensi, yaitu mampu terus bertahan dalam komputer meski sudah di-reboot sekalipun, dengan menambahkan tugas yang dijadwalkan dan jalan pintas ke dalam folder Startup.

Tepat sebelum mulai mengenkripsi file, FTCode akan memeriksa file C:\Users\Public\OracleKit\w00log03.tmp yang bertindak sebagai killswitch. Jika file itu tidak ditemukan, FTCode menghasilkan kunci enkripsi yang dikirim ke server C2 pelaku.

Pada tahap berikutnya, ransomware juga menonaktifkan lingkungan pemulihan Windows dan menghapus Shadow Volume Copies dan cadangan Windows untuk membuat pemulihan data menjadi tidak mungkin terlaksana tanpa membayar tebusan.

Selanjutnya, FTCode mulai mengenkripsi file dengan menambahkan ekstensi .FTCODE ke semua file yang terkunci dan READ_ME_NOW.htm catatan tebusan ke setiap folder. Para peretas meminta uang tebusan $500 untuk mengirimkan decryptor kepada korban mereka, namun, dari investigasi menunjukkan ada laporan pembayaran tebusan dan tidak mendapatkan decryptor.

Sampai saat ini para peneliti keamanan masih berusaha keras untuk dapat menciptakan antidotenya, mencari jalan membuat decryptor sebagai penawar. Bagi pengguna ESET tidak perlu khawatirkan karena sudah terlindungi dari serangan ransomware ini. Meski demikian, untuk berjaga-jaga dari segala kemungkinan terburuk, pengguna harus tetap menjalankan praktik keamanan terbaik, salah satunya dengan melakukan pencadangan data.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET Prosperita Ransomware Ransomware FTCode Ransomware PowerShell

Post navigation

Previous Tips Menjelajah Internet Anonim
Next Atasi Ancaman Siber Ikuti 2 Langkah Dasar Ini

artikel terkini

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
Waspada Thread Hijacking Waspada Threa

Waspada Thread Hijacking

July 16, 2026
RedHook Manfaatkan Wireless ADB Infeksi Android RedHook Manfaatkan Wireless ADB Infeksi Android

RedHook Manfaatkan Wireless ADB Infeksi Android

July 15, 2026
Malware Baru yang Mengincar Pengguna macOS Malware Baru yang Mengincar Pengguna macOS

Malware Baru yang Mengincar Pengguna macOS

July 15, 2026
Alasan BEC Sangat Berbahaya Alasan BEC Sangat Berbahaya

Alasan BEC Sangat Berbahaya

July 15, 2026

Lainnya

Spionase Siber Berkedok Lowongan Kerja Spionase Siber Berkedok Lowongan Kerja
5 min read
  • Sektor Bisnis
  • Sektor Personal

Spionase Siber Berkedok Lowongan Kerja

July 17, 2026
Manfaatkan Aplikasi Resmi Curi Recovery Phrase Manfaatkan Aplikasi Resmi Curi Recovery Phrase
4 min read
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

Manfaatkan Aplikasi Resmi Curi Recovery Phrase

July 17, 2026
11 Bootloader Lama Ancam Keamanan UEFI 11 Bootloader Lama Ancam Keamanan UEFI
4 min read
  • Sektor Bisnis
  • Sektor Personal

11 Bootloader Lama Ancam Keamanan UEFI

July 17, 2026
Unduh Gratis di GitHub Berujung Pencurian Data Unduh Gratis di GitHub Berujung Pencurian Data
3 min read
  • Sektor Bisnis
  • Sektor Personal

Unduh Gratis di GitHub Berujung Pencurian Data

July 17, 2026
PROSPERITA IT News | DarkNews by AF themes.