Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Revenge Menyebar dengan Bantuan Eksploit Kit RIG
  • Teknologi

Revenge Menyebar dengan Bantuan Eksploit Kit RIG

3 min read

Credit image: Pixabay

Ransomware tidak pernah berhenti berevolusi, terus berkembang mengikuti perubahan keadaan, kadang mereka berkamuflase untuk menutupi jati diri yang sebenarnya, seperti Revenge sebuah ransomware baru yang punya keterkaitan dengan CryptoMix atau CryptFile2.

Varian baru CryptoMix ini baru saja ditemukan saat sedang didistribusikan melalui eksploit kit RIG. Revenge memiliki banyak kesamaan dengan pendahulunya CryptoShield, varian lain dari CryptoMix, meskipun demikian ada beberapa perubahan kecil di dalamnya.

Ransomware Revenge disebar melalui situs-situs yang sudah dibajak sehingga dapat mereka dapat memasukkan eksploit kit RIG JavaScript dalam halaman situs. Ketika seseorang mengunjungi salah satu situs yang telah dibajak, eksploit kit mulai bekerja dengan mencari kelemahan dalam komputer korban dan mengeksploitasinya untuk menginstal ransomware Revenge tanpa sepengetahuan.

Metode Enkripsi Revenge

Setelah ransomware diunduh dan dijalankan pada komputer korban, ia akan menghasilkan 16 karakter heksadesimal ID untuk korban. Revenge kemudian akan mematikan proses database sehingga memiliki akses penuh ke dalam database dan mengenkripsinya. Berikut proses database yang dimatikan:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

Selanjutnya Revenge memindai komputer untuk mencari file yang menjadi target dan mengenkripsi semua, jika varian sebelumnya menargetkan 454 ekstensi untuk dienkripsi, Revenge mengincar 1.237 ekstensi, tiga kali lipat lebih banyak dari pendahulunya.

Apabila file yang diincar berhasil ditemukan, Revenge mengenkripsi file tersebut dengan AES-256, mengenkripsi nama file kemudian menambahkan ekstensi .REVENGE. Format file yang digunakan untuk mengganti nama file adalah [16_hex_char_vicimt_id][16_hex_char_encrypted_filename][unknown_8_hex_char_string][8_char_encrypted_filename].REVENGE.

Kunci enkripsi AES digunakan untuk mengenkripsi file korban yang kemudian dienkripsi lagi dengan kunci publik RSA-1024 tertanam, pada poin ini hanya pengembang ransomware yang punya kemampuan untuk mendekripsi file:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB
—–END PUBLIC KEY—–

Peringatan Palsu dan Ransom Note

Dalam setiap folder tempat file dienkripsi oleh Revenge, ransomware akan menyertakan ransom note yang bernama # !!!HELP_FILE!!! #.txt. Tidak seperti versi sebelumnya dari CryptoMix, varian ini tidak membuat versi HTML ransom note.

Selama proses enkripsi, Revenge mengeluarkan perintah untuk menonaktifkan Windows Startup Recovery dan menghapus Windows Volume Copies seperti yang diperlihatkan di bawah ini:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
“C:\Windows\System32\cmd.exe” /C net stop vss

Revenge juga menampilkan peringatan palsu yang berbunyi:

Windows Defender Virus and spyware definitions couldn’t be updated. Click Continue for recovery update soft.

Seperti halnya peringatan palsu dalam CryptoShield, peringatan palsu Revenge memiliki kesalahan dalam penulisan bahasa Inggris, yang bisa menjadi petunjuk korban jika peringatan ini adalah peringatan palsu

Apabila tombol Continue diklik, selanjutnya kita disuguhkan dengan promt User Account Control, meminta agar perintah C:\Windows\SysWOW64\wbem\WMIC.exe” process call create “%UserProfile%\a1x[r65r.exe dijalankan.

Ini yang jadi alasan kenapa peringatan palsu ditampilkan, untuk menyakinkan korban untuk mengklik tombol Yes pada prompt UAC sehingga ransomware dieksekusi dengan hak akses administrator. Setelah melewati tahap ini, ransomware Revenge menampilkan ransom note yang disebut !!!HELP_FILE!!! #.txt.

Ransom note berisi informasi kepada korban mengenai apa yang terjadi pada file mereka, ID identifikasi korban, dan tiga alamat email untuk menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran. Alamat email tersebut rev00@india.com, revenge00@writeme.com, rev_reserv@india.com

Sumber berita:

https://www.bleepingcomputer.com/

Tags: android ransomware eksploitkit

Continue Reading

Previous: Penunggang Gelap Ransomware Petya
Next: LLTP Locker Versi Lain VenusLocker

Related Stories

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
3 min read
  • Sektor Personal
  • Teknologi

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider

September 4, 2025
Iklan Palsu di Meta Sebarkan Malware Infostealer Iklan Palsu di Meta Sebarkan Malware Infostealer
3 min read
  • Teknologi

Iklan Palsu di Meta Sebarkan Malware Infostealer

September 4, 2025
Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya
4 min read
  • Teknologi

Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya

September 1, 2025

Recent Posts

  • Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
  • Iklan Palsu di Meta Sebarkan Malware Infostealer
  • Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
  • Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef
  • Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya
  • Penipuan Musim Sekolah Kembali Marak
  • Penipuan Email Terbaru Voicemail dan Purchase Order
  • Serangan Massal Menargetkan Protokol RDP Microsoft
  • PromptLock Lahirnya Ransomware Bertenaga AI Pertama
  • SIM Swapping Ancaman Serius yang Mengintai Pengguna Ponsel

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
3 min read
  • Sektor Personal
  • Teknologi

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider

September 4, 2025
Iklan Palsu di Meta Sebarkan Malware Infostealer Iklan Palsu di Meta Sebarkan Malware Infostealer
3 min read
  • Teknologi

Iklan Palsu di Meta Sebarkan Malware Infostealer

September 4, 2025
Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
4 min read
  • Mobile Security
  • Sektor Personal

Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone

September 4, 2025
Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef
3 min read
  • Sektor Personal

Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef

September 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.