Revenge Menyebar dengan Bantuan Eksploit Kit RIG

Ransomware tidak pernah berhenti berevolusi, terus berkembang mengikuti perubahan keadaan, kadang mereka berkamuflase untuk menutupi jati diri yang sebenarnya, seperti Revenge sebuah ransomware baru yang punya keterkaitan dengan CryptoMix atau CryptFile2.

Varian baru CryptoMix ini baru saja ditemukan saat sedang didistribusikan melalui eksploit kit RIG. Revenge memiliki banyak kesamaan dengan pendahulunya CryptoShield, varian lain dari CryptoMix, meskipun demikian ada beberapa perubahan kecil di dalamnya.

Ransomware Revenge disebar melalui situs-situs yang sudah dibajak sehingga dapat mereka dapat memasukkan eksploit kit RIG JavaScript dalam halaman situs. Ketika seseorang mengunjungi salah satu situs yang telah dibajak, eksploit kit mulai bekerja dengan mencari kelemahan dalam komputer korban dan mengeksploitasinya untuk menginstal ransomware Revenge tanpa sepengetahuan.

Metode Enkripsi Revenge

Setelah ransomware diunduh dan dijalankan pada komputer korban, ia akan menghasilkan 16 karakter heksadesimal ID untuk korban. Revenge kemudian akan mematikan proses database sehingga memiliki akses penuh ke dalam database dan mengenkripsinya. Berikut proses database yang dimatikan:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

Selanjutnya Revenge memindai komputer untuk mencari file yang menjadi target dan mengenkripsi semua, jika varian sebelumnya menargetkan 454 ekstensi untuk dienkripsi, Revenge mengincar 1.237 ekstensi, tiga kali lipat lebih banyak dari pendahulunya.

Apabila file yang diincar berhasil ditemukan, Revenge mengenkripsi file tersebut dengan AES-256, mengenkripsi nama file kemudian menambahkan ekstensi .REVENGE. Format file yang digunakan untuk mengganti nama file adalah [16_hex_char_vicimt_id][16_hex_char_encrypted_filename][unknown_8_hex_char_string][8_char_encrypted_filename].REVENGE.

Kunci enkripsi AES digunakan untuk mengenkripsi file korban yang kemudian dienkripsi lagi dengan kunci publik RSA-1024 tertanam, pada poin ini hanya pengembang ransomware yang punya kemampuan untuk mendekripsi file:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB
—–END PUBLIC KEY—–

Peringatan Palsu dan Ransom Note

Dalam setiap folder tempat file dienkripsi oleh Revenge, ransomware akan menyertakan ransom note yang bernama # !!!HELP_FILE!!! #.txt. Tidak seperti versi sebelumnya dari CryptoMix, varian ini tidak membuat versi HTML ransom note.

Selama proses enkripsi, Revenge mengeluarkan perintah untuk menonaktifkan Windows Startup Recovery dan menghapus Windows Volume Copies seperti yang diperlihatkan di bawah ini:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
“C:\Windows\System32\cmd.exe” /C net stop vss

Revenge juga menampilkan peringatan palsu yang berbunyi:

Windows Defender Virus and spyware definitions couldn’t be updated. Click Continue for recovery update soft.

Seperti halnya peringatan palsu dalam CryptoShield, peringatan palsu Revenge memiliki kesalahan dalam penulisan bahasa Inggris, yang bisa menjadi petunjuk korban jika peringatan ini adalah peringatan palsu

Apabila tombol Continue diklik, selanjutnya kita disuguhkan dengan promt User Account Control, meminta agar perintah C:\Windows\SysWOW64\wbem\WMIC.exe” process call create “%UserProfile%\a1x[r65r.exe dijalankan.

Ini yang jadi alasan kenapa peringatan palsu ditampilkan, untuk menyakinkan korban untuk mengklik tombol Yes pada prompt UAC sehingga ransomware dieksekusi dengan hak akses administrator. Setelah melewati tahap ini, ransomware Revenge menampilkan ransom note yang disebut !!!HELP_FILE!!! #.txt.

Ransom note berisi informasi kepada korban mengenai apa yang terjadi pada file mereka, ID identifikasi korban, dan tiga alamat email untuk menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran. Alamat email tersebut rev00@india.com, revenge00@writeme.com, rev_reserv@india.com

Sumber berita:

https://www.bleepingcomputer.com/