Ransomware memang pelik, para pengembangnya terus mengulik untuk dapat menyempurnakan teknik, hal ini terlihat pada sebuah ransomware baru yang mengkombinasikan banyak fitur unik seperti statmen politik, tingkatan enkripsi dan penciptaan subdomain publik .
Ransomware RanRan demikian namanya, untuk saat ini hanya menginfeksi sebuah negara di Timur Tengah. Para peneliti keamanan tertarik dengan ancaman ini dengan implikasi politik untuk masing-masing korban terinfeksi, yang harus membuat pernyataan politik.
Mematikan Proses Database
Metode distribusi saat ini masih belum diketahui, tetapi ketika korban menjalankan ransomware untuk pertama kalinya, ia memeriksa mutex (Services1.0). Jika sudah ada, RanRan menentukan bahwa ia sudah menginfeksi PC dan menghentikan pelaksanaannya.
Ransomware terus konsisten meskipun melalui booting berkali-kali dengan cara decoding base64 string hardcoded. Value base64 string ini adalah kunci registri baru, yang menggunakan RanRan untuk meluncurkan binary, yang terletak di C:\services.exe.
Sebelum memulai proses enkripsi, ransomware menutup serangkaian proses dalam PC, di mana sebagian besar milik server database. RanRan juga memantau proses ini secara berkala dan mencegah mereka untuk dapat aktif kembali. Demikian pula, memonitor dan menutup setiap jendela desktop yang berisi “task manager.”
Tingkatan Enkripsi
Fitur Ransomware RanRan satu ini memang unik, kemampuan mengenkripsi sebuah ransomware biasanya bergantung pada ukuran file terenkripsi, dan RanRan menggunakan delapan tingkatan enkripsi:
0 – 5 MB
5 – 30 MB
30 – 100 MB
100 – 300 MB
300 – 700 MB
700 – 2000 MB
2000 – 3000 MB
3000 MB and lebih besar
Peneliti menggambarkan proses enkripsi RanRan sebagai berikut:
Pengembang RanRan memasok RSA kunci publik di C:\pubkey location. Jika kunci publik tidak diberikan, Ranran akan mengenkripsi file menggunakan hash md5 dari string “aaoy09aaqqq @ # 433dd56fdfdf $ Fss45 * ss”.
Jika tidak, string acak ditulis ke sebuah file bernama ‘C:\WINDOWS\pass’. MD5 dari string ini digunakan sebagai password RC4. Sebuah password baru yang dihasilkan untuk delapan kelompok file. Setelah sukses mengenkripsi, kunci akan digunakan pada kelompok tertentu yang dienkripsi menggunakan kunci publik RSA tersedia dan menulisnya ke sebuah file yang menggunakan nama seperti notasi berikut: VictemKey_ [lower_bound] _ [upper_bound]
Ini berarti bahwa setelah enkripsi berakhir, korban akan melihat delapan file berikut di komputer mereka:
VictemKey_0_5
VictemKey_5_30
VictemKey_30_100
VictemKey_100_300
VictemKey_300_700
VictemKey_700_2000
VictemKey_2000_3000
VictemKey_3000
Sama seperti kebanyakan strain ransomware, RanRan juga menambahkan ekstensi pada akhir semua file dienkripsi. Ekstensi ini adalah .zXz.
Pesan politik dari Ransom Note RanRan
Bagian yang paling menarik adalah Ransom Note. Ini disimpan dalam sebuah file bernama zXz.html dan terlihat sederhana dalam desain, dengan banyak kesalahan bahasa Inggris.
Alih-alih meminta korban untuk mengunjungi situs atau melakukan pembayaran ke alamat Bitcoin, RanRan meminta korban untuk membuat subdomain di website mereka, di mana mereka harus meng-upload sebuah file bernama ransomware.txt berisi alamat email mereka. Perilaku RanRan jelas kebalikan dari kebanyakan keluarga ransomware yang meminta korban untuk menghubungi operator ransomware, bukan sebaliknya.
Selanjutnya, pengembang Ransomware Ranran memanfaatkan ransomware untuk menyampaikan pesan politik. Mereka melakukan hal ini dengan meminta korban untuk membuat subdomain di situs web mereka menggunakan istilah yang menghasut kekerasan terhadap pemimpin politik utama negara itu. Saat ini, serangan dengan RanRan hanya terlihat di Arab Saudi. Selain itu, menurut sebuah informasi, ada serangan kedua dengan RanRan terhadap target di Filipina pada awal tahun ini.
Kelemahan RanRan
Meskipun metode ini terbilang cukup inovatif, Pengembang malware RanRan telah membuat beberapa kesalahan saat menyusun proses enkripsi. Kemudian diketahui juga bahwa ransomware mereka menggunakan kode enkripsi copy-paste dari GitHub.
Kelemahan RanRan akibat beberapa kesalahan yang dibuat pengembangnya mencegah ransomware menghapus file asli dalam beberapa situasi, yang memungkinkan peneliti untuk membandingkan dua versi dari file yang sama dan memecahkan skema enkripsi.
Sumber berita:
https://www.bleepingcomputer.com
