Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware RanRan dan Kaitan Politik
  • Teknologi

Ransomware RanRan dan Kaitan Politik

3 min read

Credit image: Pixabay

Ransomware memang pelik, para pengembangnya terus mengulik untuk dapat menyempurnakan teknik, hal ini terlihat pada sebuah ransomware baru yang mengkombinasikan banyak fitur unik seperti statmen politik, tingkatan enkripsi dan penciptaan subdomain publik .

Ransomware RanRan demikian namanya, untuk saat ini hanya menginfeksi sebuah negara di Timur Tengah. Para peneliti keamanan tertarik dengan ancaman ini dengan implikasi politik untuk masing-masing korban terinfeksi, yang harus membuat pernyataan politik.

Mematikan Proses Database

Metode distribusi saat ini masih belum diketahui, tetapi ketika korban menjalankan ransomware untuk pertama kalinya, ia memeriksa mutex (Services1.0). Jika sudah ada, RanRan menentukan bahwa ia sudah menginfeksi PC dan menghentikan pelaksanaannya.

Ransomware terus konsisten meskipun melalui booting berkali-kali dengan cara decoding base64 string hardcoded. Value base64 string ini adalah kunci registri baru, yang menggunakan RanRan untuk meluncurkan binary, yang terletak di C:\services.exe.

Sebelum memulai proses enkripsi, ransomware menutup serangkaian proses dalam PC, di mana sebagian besar milik server database. RanRan juga memantau proses ini secara berkala dan mencegah mereka untuk dapat aktif kembali. Demikian pula, memonitor dan menutup setiap jendela desktop yang berisi “task manager.”

Tingkatan Enkripsi

Fitur Ransomware RanRan satu ini memang unik, kemampuan mengenkripsi sebuah ransomware biasanya bergantung pada ukuran file terenkripsi, dan RanRan menggunakan delapan tingkatan enkripsi:

  • 0 – 5 MB
  • 5 – 30 MB
  • 30 – 100 MB
  • 100 – 300 MB
  • 300 – 700 MB
  • 700 – 2000 MB
  • 2000 – 3000 MB
  • 3000 MB and lebih besar

Peneliti menggambarkan proses enkripsi RanRan sebagai berikut:
Pengembang RanRan memasok RSA kunci publik di C:\pubkey location. Jika kunci publik tidak diberikan, Ranran akan mengenkripsi file menggunakan hash md5 dari string “aaoy09aaqqq @ # 433dd56fdfdf $ Fss45 * ss”.

Jika tidak, string acak ditulis ke sebuah file bernama ‘C:\WINDOWS\pass’. MD5 dari string ini digunakan sebagai password RC4. Sebuah password baru yang dihasilkan untuk delapan kelompok file.

Setelah sukses mengenkripsi, kunci akan digunakan pada kelompok tertentu yang dienkripsi menggunakan kunci publik RSA tersedia dan menulisnya ke sebuah file yang menggunakan nama seperti notasi berikut: VictemKey_ [lower_bound] _ [upper_bound]

Ini berarti bahwa setelah enkripsi berakhir, korban akan melihat delapan file berikut di komputer mereka:

  • VictemKey_0_5
  • VictemKey_5_30
  • VictemKey_30_100
  • VictemKey_100_300
  • VictemKey_300_700
  • VictemKey_700_2000
  • VictemKey_2000_3000
  • VictemKey_3000

Sama seperti kebanyakan strain ransomware, RanRan juga menambahkan ekstensi pada akhir semua file dienkripsi. Ekstensi ini adalah .zXz.

Pesan politik dari Ransom Note RanRan

Bagian yang paling menarik adalah Ransom Note. Ini disimpan dalam sebuah file bernama zXz.html dan terlihat sederhana dalam desain, dengan banyak kesalahan bahasa Inggris.

Alih-alih meminta korban untuk mengunjungi situs atau melakukan pembayaran ke alamat Bitcoin, RanRan meminta korban untuk membuat subdomain di website mereka, di mana mereka harus meng-upload sebuah file bernama ransomware.txt berisi alamat email mereka. Perilaku RanRan jelas kebalikan dari kebanyakan keluarga ransomware yang meminta korban untuk menghubungi operator ransomware, bukan sebaliknya.

Selanjutnya, pengembang Ransomware Ranran memanfaatkan ransomware untuk menyampaikan pesan politik. Mereka melakukan hal ini dengan meminta korban untuk membuat subdomain di situs web mereka menggunakan istilah yang menghasut kekerasan terhadap pemimpin politik utama negara itu.

Saat ini, serangan dengan RanRan hanya terlihat di Arab Saudi. Selain itu, menurut sebuah informasi, ada serangan kedua dengan RanRan terhadap target di Filipina pada awal tahun ini.

Kelemahan RanRan

Meskipun metode ini terbilang cukup inovatif, Pengembang malware RanRan telah membuat beberapa kesalahan saat menyusun proses enkripsi. Kemudian diketahui juga bahwa ransomware mereka menggunakan kode enkripsi copy-paste dari GitHub.

Kelemahan RanRan akibat beberapa kesalahan yang dibuat pengembangnya mencegah ransomware menghapus file asli dalam beberapa situasi, yang memungkinkan peneliti untuk membandingkan dua versi dari file yang sama dan memecahkan skema enkripsi.

Sumber berita:

https://www.bleepingcomputer.com

Tags: ESET deteksi Ransomware Ransomware

Continue Reading

Previous: Curi Kredensial CC Betaling Meniru Google Chrome
Next: Dendam, Pengembang Malware Serang Layanan Ransomware

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
4 min read
  • Sektor Personal

Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri

June 30, 2025
Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025

Copyright © All rights reserved. | DarkNews by AF themes.