Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Revenge Menyebar dengan Bantuan Eksploit Kit RIG
  • Teknologi

Revenge Menyebar dengan Bantuan Eksploit Kit RIG

3 min read

Credit image: Pixabay

Ransomware tidak pernah berhenti berevolusi, terus berkembang mengikuti perubahan keadaan, kadang mereka berkamuflase untuk menutupi jati diri yang sebenarnya, seperti Revenge sebuah ransomware baru yang punya keterkaitan dengan CryptoMix atau CryptFile2.

Varian baru CryptoMix ini baru saja ditemukan saat sedang didistribusikan melalui eksploit kit RIG. Revenge memiliki banyak kesamaan dengan pendahulunya CryptoShield, varian lain dari CryptoMix, meskipun demikian ada beberapa perubahan kecil di dalamnya.

Ransomware Revenge disebar melalui situs-situs yang sudah dibajak sehingga dapat mereka dapat memasukkan eksploit kit RIG JavaScript dalam halaman situs. Ketika seseorang mengunjungi salah satu situs yang telah dibajak, eksploit kit mulai bekerja dengan mencari kelemahan dalam komputer korban dan mengeksploitasinya untuk menginstal ransomware Revenge tanpa sepengetahuan.

Metode Enkripsi Revenge

Setelah ransomware diunduh dan dijalankan pada komputer korban, ia akan menghasilkan 16 karakter heksadesimal ID untuk korban. Revenge kemudian akan mematikan proses database sehingga memiliki akses penuh ke dalam database dan mengenkripsinya. Berikut proses database yang dimatikan:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

Selanjutnya Revenge memindai komputer untuk mencari file yang menjadi target dan mengenkripsi semua, jika varian sebelumnya menargetkan 454 ekstensi untuk dienkripsi, Revenge mengincar 1.237 ekstensi, tiga kali lipat lebih banyak dari pendahulunya.

Apabila file yang diincar berhasil ditemukan, Revenge mengenkripsi file tersebut dengan AES-256, mengenkripsi nama file kemudian menambahkan ekstensi .REVENGE. Format file yang digunakan untuk mengganti nama file adalah [16_hex_char_vicimt_id][16_hex_char_encrypted_filename][unknown_8_hex_char_string][8_char_encrypted_filename].REVENGE.

Kunci enkripsi AES digunakan untuk mengenkripsi file korban yang kemudian dienkripsi lagi dengan kunci publik RSA-1024 tertanam, pada poin ini hanya pengembang ransomware yang punya kemampuan untuk mendekripsi file:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCQrO3EuFElsq2cyX+mgWJ4lnK5 xE/YNZru2WpwEvEG2kTIcYthRInXveRJKnUzvtWJ0RCymL3mVbBQXF9JSCQPIkb5 NDDXDgVH16vZFBHbHoqiA4nORa7BAC9ThEgQk6+U8ZLLPahcxN9RXqE66WAmAeP9 1CerOjfLCUJMB02qoQIDAQAB
—–END PUBLIC KEY—–

Peringatan Palsu dan Ransom Note

Dalam setiap folder tempat file dienkripsi oleh Revenge, ransomware akan menyertakan ransom note yang bernama # !!!HELP_FILE!!! #.txt. Tidak seperti versi sebelumnya dari CryptoMix, varian ini tidak membuat versi HTML ransom note.

Selama proses enkripsi, Revenge mengeluarkan perintah untuk menonaktifkan Windows Startup Recovery dan menghapus Windows Volume Copies seperti yang diperlihatkan di bawah ini:

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
“C:\Windows\System32\cmd.exe” /C net stop vss

Revenge juga menampilkan peringatan palsu yang berbunyi:

Windows Defender Virus and spyware definitions couldn’t be updated. Click Continue for recovery update soft.

Seperti halnya peringatan palsu dalam CryptoShield, peringatan palsu Revenge memiliki kesalahan dalam penulisan bahasa Inggris, yang bisa menjadi petunjuk korban jika peringatan ini adalah peringatan palsu

Apabila tombol Continue diklik, selanjutnya kita disuguhkan dengan promt User Account Control, meminta agar perintah C:\Windows\SysWOW64\wbem\WMIC.exe” process call create “%UserProfile%\a1x[r65r.exe dijalankan.

Ini yang jadi alasan kenapa peringatan palsu ditampilkan, untuk menyakinkan korban untuk mengklik tombol Yes pada prompt UAC sehingga ransomware dieksekusi dengan hak akses administrator. Setelah melewati tahap ini, ransomware Revenge menampilkan ransom note yang disebut !!!HELP_FILE!!! #.txt.

Ransom note berisi informasi kepada korban mengenai apa yang terjadi pada file mereka, ID identifikasi korban, dan tiga alamat email untuk menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran. Alamat email tersebut rev00@india.com, revenge00@writeme.com, rev_reserv@india.com

Sumber berita:

https://www.bleepingcomputer.com/

Tags: android ransomware eksploitkit

Continue Reading

Previous: Penunggang Gelap Ransomware Petya
Next: LLTP Locker Versi Lain VenusLocker

Related Stories

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025

Recent Posts

  • Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis
  • Waspada SIM Swapping Lindungi Akun Digital dari Peretas
  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025

Copyright © All rights reserved. | DarkNews by AF themes.