Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Personal
  • Ransomware PowerShell Masalah Serius Dunia Siber
  • Ransomware
  • Sektor Personal

Ransomware PowerShell Masalah Serius Dunia Siber

3 min read

Credit image: Pixabay

Korban ransomware FTCode sekarang memiliki satu hal lagi yang perlu dikhawatirkan dengan malware yang telah ditingkatkan kemampuannya sehingga juga mampu mencuri kredensial pengguna yang disimpan dari email client dan browser web.

FTCode yang dikenali ESET sebagai PowerShell/Filecoder.V adalah ransomware berbasis PowerShell pertama kali ditemukan pada tahun 2013, sebuah malware yang muncul kembali pada Oktober 2019 sebagai muatan terakhir dalam kampanye email spam yang belum lama ini menyebar masif.

Karena sepenuhnya dikembangkan di PowerShell memungkinkannya untuk mengenkripsi perangkat targetnya tanpa harus mengunduh komponen tambahan, sementara juga membuatnya sangat mudah bagi pengembangnya untuk menambahkan fungsionalitas baru.

Fungsionalitas Baru FTCode

Dengan berbasis PowerShell memudahkan pengembang ransomware mensuplai fungsi-fungsi baru sesuai dengan kebutuhannya, berikut merupakan beberapa fungsionalitas yang baru saja ditambahkan:

  • Fungsi pencuri info yang baru ditambahkan memungkinkan FTCode untuk memanen dan mengekstrak kredensial yang disimpan sebelum mengenkripsi file korbannya.
  • FTCode sekarang mampu mencuri kredensial yang disimpan dari kedua browser web (Internet Explorer, Mozilla Firefox, Google Chrome) dan klien email seperti Mozilla Thunderbird dan Microsoft Outlook.
  • Cara ransomware ini mengumpulkan kredensial berbeda untuk masing-masing dari lima aplikasi, secara langsung mengakses kunci registri dalam kasus Internet Explorer dan Microsoft Outlook, sedangkan dalam kasus Mozilla Firefox, Mozilla Thunderbird, dan Google Chrome masuk ke folder tempat aplikasi menyimpan kredensial.
  • Setelah informasi dipanen, FTCode akan mengirimkannya ke operatornya menggunakan permintaan POST yang dikirim ke server Command & Control (C2), dengan nama pengguna dan kata sandi disandikan menggunakan skema penyandian Base64.

Kemampuan ini tidak ada dalam varian sebelumnya. Jadi kita bisa melihat bahwa pengembang ransomware akan selalu punya kesempatan untuk menyempurnakan malwarenya, dengan terus meningkatkan kemampuannya, mengupdate berbagai keperluan yang bisa disesuaikan, membuat malware semakin canggih sejalan waktu.

FTCode Bangkit dari Kubur

Mulai 26 September, serangkaian laporan tentang ransomware baru didistribusikan melalui spam dan diberi nama FTCode.

Berdasar informasi dan investigasi diketahui bahwa sampel diteliti memiliki kesamaan seperti yang terdeteksi pada 2013 dan kemungkinan bahwa FTCode dihidupkan kembali dalam serangan baru-baru ini, karena PowerShell terintegrasi secara default pada perangkat Windows yang menjalankan setidaknya Windows 7 atau Windows Server 2008 R2.

FTCode ransomware tiba di komputer korbannya melalui email spam yang berisi dokumen Word jahat yang disamarkan sebagai faktur, pemindaian dokumen, dan resume, yang akan menghapus pengunduh malware JasperLoader dan kemudian mengenkripsi perangkat.

Namun, enkripsi tidak akan terjadi sampai malware mendapatkan persistensi, yaitu mampu terus bertahan dalam komputer meski sudah di-reboot sekalipun, dengan menambahkan tugas yang dijadwalkan dan jalan pintas ke dalam folder Startup.

Tepat sebelum mulai mengenkripsi file, FTCode akan memeriksa file C:\Users\Public\OracleKit\w00log03.tmp yang bertindak sebagai killswitch. Jika file itu tidak ditemukan, FTCode menghasilkan kunci enkripsi yang dikirim ke server C2 pelaku.

Pada tahap berikutnya, ransomware juga menonaktifkan lingkungan pemulihan Windows dan menghapus Shadow Volume Copies dan cadangan Windows untuk membuat pemulihan data menjadi tidak mungkin terlaksana tanpa membayar tebusan.

Selanjutnya, FTCode mulai mengenkripsi file dengan menambahkan ekstensi .FTCODE ke semua file yang terkunci dan READ_ME_NOW.htm catatan tebusan ke setiap folder. Para peretas meminta uang tebusan $500 untuk mengirimkan decryptor kepada korban mereka, namun, dari investigasi menunjukkan ada laporan pembayaran tebusan dan tidak mendapatkan decryptor.

Sampai saat ini para peneliti keamanan masih berusaha keras untuk dapat menciptakan antidotenya, mencari jalan membuat decryptor sebagai penawar. Bagi pengguna ESET tidak perlu khawatirkan karena sudah terlindungi dari serangan ransomware ini. Meski demikian, untuk berjaga-jaga dari segala kemungkinan terburuk, pengguna harus tetap menjalankan praktik keamanan terbaik, salah satunya dengan melakukan pencadangan data.

Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare ESET Prosperita Ransomware Ransomware FTCode Ransomware PowerShell

Continue Reading

Previous: Tips Menjelajah Internet Anonim
Next: Atasi Ancaman Siber Ikuti 2 Langkah Dasar Ini

Related Stories

SEO Poisoning Jebakan Malware Berkedok Alat AI SEO Poisoning Jebakan Malware Berkedok Alat AI
4 min read
  • Sektor Personal
  • Teknologi

SEO Poisoning Jebakan Malware Berkedok Alat AI

July 18, 2025
Privasi Data di Media Sosial Privasi Data di Media Sosial
4 min read
  • Sektor Personal
  • Teknologi

Privasi Data di Media Sosial

July 15, 2025
Penipuan Ketenagakerjaan dan Cara Kerjanya Penipuan Ketenagakerjaan dan Cara Kerjanya
4 min read
  • Sektor Personal

Penipuan Ketenagakerjaan dan Cara Kerjanya

July 15, 2025

Recent Posts

  • SEO Poisoning Jebakan Malware Berkedok Alat AI
  • Ancaman Baru Atomic macOS Infostealer dan Langkah Perlindungan
  • Privasi Data di Media Sosial
  • Puluhan Ekstensi Firefox Ancam Dompet Kripto
  • Penipuan Ketenagakerjaan dan Cara Kerjanya
  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

SEO Poisoning Jebakan Malware Berkedok Alat AI SEO Poisoning Jebakan Malware Berkedok Alat AI
4 min read
  • Sektor Personal
  • Teknologi

SEO Poisoning Jebakan Malware Berkedok Alat AI

July 18, 2025
Ancaman Baru Atomic macOS Infostealer dan Langkah Perlindungan Ancaman Baru Atomic macOS Infostealer dan Langkah Perlindungan
4 min read
  • Teknologi

Ancaman Baru Atomic macOS Infostealer dan Langkah Perlindungan

July 18, 2025
Privasi Data di Media Sosial Privasi Data di Media Sosial
4 min read
  • Sektor Personal
  • Teknologi

Privasi Data di Media Sosial

July 15, 2025
Puluhan Ekstensi Firefox Ancam Dompet Kripto Puluhan Ekstensi Firefox Ancam Dompet Kripto
3 min read
  • Teknologi

Puluhan Ekstensi Firefox Ancam Dompet Kripto

July 15, 2025

Copyright © All rights reserved. | DarkNews by AF themes.