Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Revenge Menyebar dengan Bantuan Eksploit Kit RIG
  • Teknologi

Revenge Menyebar dengan Bantuan Eksploit Kit RIG

3 min read

Credit image: Pixabay

Ransomware tidak pernah berhenti berevolusi, terus berkembang mengikuti perubahan keadaan, kadang mereka berkamuflase untuk menutupi jati diri yang sebenarnya, seperti Revenge sebuah ransomware baru yang punya keterkaitan dengan CryptoMix atau CryptFile2.

Varian baru CryptoMix ini baru saja ditemukan saat sedang didistribusikan melalui eksploit kit RIG. Revenge memiliki banyak kesamaan dengan pendahulunya CryptoShield, varian lain dari CryptoMix, meskipun demikian ada beberapa perubahan kecil di dalamnya.

Ransomware Revenge disebar melalui situs-situs yang sudah dibajak sehingga dapat mereka dapat memasukkan eksploit kit RIG JavaScript dalam halaman situs. Ketika seseorang mengunjungi salah satu situs yang telah dibajak, eksploit kit mulai bekerja dengan mencari kelemahan dalam komputer korban dan mengeksploitasinya untuk menginstal ransomware Revenge tanpa sepengetahuan.

Metode Enkripsi Revenge

Setelah ransomware diunduh dan dijalankan pada komputer korban, ia akan menghasilkan 16 karakter heksadesimal ID untuk korban. Revenge kemudian akan mematikan proses database sehingga memiliki akses penuh ke dalam database dan mengenkripsinya. Berikut proses database yang dimatikan:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

Selanjutnya Revenge memindai komputer untuk mencari file yang menjadi target dan mengenkripsi semua, jika varian sebelumnya menargetkan 454 ekstensi untuk dienkripsi, Revenge mengincar 1.237 ekstensi, tiga kali lipat lebih banyak dari pendahulunya.

Apabila file yang diincar berhasil ditemukan, Revenge mengenkripsi file tersebut dengan AES-256, mengenkripsi nama file kemudian menambahkan ekstensi .REVENGE. Format file yang digunakan untuk mengganti nama file adalah [16_hex_char_vicimt_id][16_hex_char_encrypted_filename][unknown_8_hex_char_string][8_char_encrypted_filename].REVENGE.

Kunci enkripsi AES digunakan untuk mengenkripsi file korban yang kemudian dienkripsi lagi dengan kunci publik RSA-1024 tertanam, pada poin ini hanya pengembang ransomware yang punya kemampuan untuk mendekripsi file:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB
—–END PUBLIC KEY—–

Peringatan Palsu dan Ransom Note

Dalam setiap folder tempat file dienkripsi oleh Revenge, ransomware akan menyertakan ransom note yang bernama # !!!HELP_FILE!!! #.txt. Tidak seperti versi sebelumnya dari CryptoMix, varian ini tidak membuat versi HTML ransom note.

Selama proses enkripsi, Revenge mengeluarkan perintah untuk menonaktifkan Windows Startup Recovery dan menghapus Windows Volume Copies seperti yang diperlihatkan di bawah ini:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
“C:\Windows\System32\cmd.exe” /C net stop vss

Revenge juga menampilkan peringatan palsu yang berbunyi:

Windows Defender Virus and spyware definitions couldn’t be updated. Click Continue for recovery update soft.

Seperti halnya peringatan palsu dalam CryptoShield, peringatan palsu Revenge memiliki kesalahan dalam penulisan bahasa Inggris, yang bisa menjadi petunjuk korban jika peringatan ini adalah peringatan palsu

Apabila tombol Continue diklik, selanjutnya kita disuguhkan dengan promt User Account Control, meminta agar perintah C:\Windows\SysWOW64\wbem\WMIC.exe” process call create “%UserProfile%\a1x[r65r.exe dijalankan.

Ini yang jadi alasan kenapa peringatan palsu ditampilkan, untuk menyakinkan korban untuk mengklik tombol Yes pada prompt UAC sehingga ransomware dieksekusi dengan hak akses administrator. Setelah melewati tahap ini, ransomware Revenge menampilkan ransom note yang disebut !!!HELP_FILE!!! #.txt.

Ransom note berisi informasi kepada korban mengenai apa yang terjadi pada file mereka, ID identifikasi korban, dan tiga alamat email untuk menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran. Alamat email tersebut rev00@india.com, revenge00@writeme.com, rev_reserv@india.com

Sumber berita:

https://www.bleepingcomputer.com/

Tags: android ransomware eksploitkit

Continue Reading

Previous: Penunggang Gelap Ransomware Petya
Next: LLTP Locker Versi Lain VenusLocker

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.