Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop
  • Teknologi

RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop

3 min read

Credit image: Pixabay

Hari ini kita akan membahas sekilas tentang sebuah ransomware baru yang disebut RSAUtil yang ditemukan para peneliti keamanan. RSAUtil didistribusikan oleh pengembang yang melakukan hacking ke layanan remote desktop dan mengunggah satu paket file. Paket ini berisi berbagai tool, file konfigurasi yang menentukan bagaimana ransomware dijalankan.

Untuk sementara ransomware ini saat ini belum bisa didekripsi secara gratis, para peneliti masih bekerja keras menemukan antidot untuk ransomware ini. Sebagai ransomware baru RSAUtil cukup menyulitkan meskipun bukan berarti tidak bisa ditaklukan.

Sebelum melihat komponen ransomware, mari kita awali dengan melihat konten paket yang diunggah oleh pengembang ransomware ke mesin yang diretas. Paket ini biasanya digunakan untuk pemasangan ransomware RSAUtil.

Mari melihat setiap file yang berada dalam paket, kita akan mulai pertama dengan file CMD. File ini digunakan oleh hacker untuk menghapus semua event log pada mesin untuk membersihkan jejak bagaimana mesin dikompromikan.

Clearing Events Log


DontSleep_x64.exe
dan DontSleep_x64.ini. File digunakan untuk menghentikan komputer agar tidak dalam posisi sleep atau berhibernasi. Hal ini dilakukan agar hacker tidak kehilangan koneksi dan sehingga ransomware tidak terganggu. Dan ini merupakan program legitimate yang digunakan oleh pengembang ransomware. Sedangkan How_return_files.txt adalah ransom note yang akan ditempatkan di setiap folder file yang dienkripsi.

Image.jpg terlihat seperti file image yang bisa diatur sebagai latar belakang desktop. Tapi, dalam pengujian sampel, file ini sepertinya tidak digunakan sama sekali, kecuali hacker secara manual mengubah latar belakang.

NE SPAT.bat digunakan untuk mengkonfigurasi berbagai pilihan layanan remote desktop. File ini dijalankan oleh hacker untuk membuat mereka tidak akan pernah terputus dari koneksi Remote Desktop saat sedang idle.

svchosts.exe, file terakhir dalam paket ini merupakan file ransomware RSAUtil. Selama finish diatur ke 0 di file config.cfg, saat dijalankan, ransomware akan memindai folder komputer, drive jaringan yang dipetakan, dan berbagi jaringan yang belum dipetakan untuk file dan mengenkripsinya.

Ransomware Bekerja

Saat peretas telah menyiapkan komputer menggunakan paket file CMD/batch dan file executable, lalu langkah berikutnya mereka siap untuk mengenkripsi target komputer. Untuk melakukan ini, mereka hanya menjalankan program svchosts.exe dan mulai memindai komputer, memetakan driver, dan jaringan berbagai yang belum dipetakan agar file dapat dienkripsi.

Tidak seperti kebanyakan ransomware, RSAUtil tidak memiliki daftar ekstensi file yang ditargetkannya. Ini berarti banyak executable di komputer akan terenkripsi juga, menjadi bagian yang paling menyebalkan saat mencoba menganalisa ransomware.

Saat mengenkripsi file, ia akan menggunakan kunci enkripsi yang ditemukan di file config.cfg dan menambahkan ekstensi ke file terenkripsi berdasarkan berbagai informasi di file konfigurasi. Misalnya bisa ditemukan, dalam setting sebagai berikut:

Id:83624883
Mail:helppme@india.com
Expansion:{MAIL}.ID{ID}

Artinya, ekstensi yang ditambahkan akan dalam format .helppme@india.com.ID83624883. Jadi sebuah file bernama coba.jpg akan dienkripsi sebagai coba.jpg.helppme@india.com.ID83624883.

Saat ransomware selesai mengenkripsi file, pada desktop muncul layar penguncian, disertai dengan pemberitahuan agar korban menghubungi helppme@india.com atau hepl111@aol.com untuk menerima instruksi pembayaran. Setelah pembayaran dilakukan, korban akan menerima kunci dekripsi yang dapat mereka masukkan ke dalam layar kunci untuk mendekripsi file mereka.

Ransomware juga membuat ransom note yang bernama How_return_files.txt di setiap folder di mana filenya telah dienkripsi. Catatan tebusan ini bisa dilihat di bawah dan berisi informasi yang sama seperti layar kunci.

Sumber berita:


https://www.bleepingcomputer.com

Tags: anti virus super ringan ESET deteksi Ransomware Ransomware RSAUtil Super Ringan

Post navigation

Previous Malware Tanpa Jejak Menguras ATM di 40 Negara
Next Duo RaaS Rusia dan Kekuatiran Ancaman Siber

Related Stories

Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
4 min read
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

October 7, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.