Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop
  • Teknologi

RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop

3 min read

Credit image: Pixabay

Hari ini kita akan membahas sekilas tentang sebuah ransomware baru yang disebut RSAUtil yang ditemukan para peneliti keamanan. RSAUtil didistribusikan oleh pengembang yang melakukan hacking ke layanan remote desktop dan mengunggah satu paket file. Paket ini berisi berbagai tool, file konfigurasi yang menentukan bagaimana ransomware dijalankan.

Untuk sementara ransomware ini saat ini belum bisa didekripsi secara gratis, para peneliti masih bekerja keras menemukan antidot untuk ransomware ini. Sebagai ransomware baru RSAUtil cukup menyulitkan meskipun bukan berarti tidak bisa ditaklukan.

Sebelum melihat komponen ransomware, mari kita awali dengan melihat konten paket yang diunggah oleh pengembang ransomware ke mesin yang diretas. Paket ini biasanya digunakan untuk pemasangan ransomware RSAUtil.

Mari melihat setiap file yang berada dalam paket, kita akan mulai pertama dengan file CMD. File ini digunakan oleh hacker untuk menghapus semua event log pada mesin untuk membersihkan jejak bagaimana mesin dikompromikan.

Clearing Events Log


DontSleep_x64.exe
dan DontSleep_x64.ini. File digunakan untuk menghentikan komputer agar tidak dalam posisi sleep atau berhibernasi. Hal ini dilakukan agar hacker tidak kehilangan koneksi dan sehingga ransomware tidak terganggu. Dan ini merupakan program legitimate yang digunakan oleh pengembang ransomware. Sedangkan How_return_files.txt adalah ransom note yang akan ditempatkan di setiap folder file yang dienkripsi.

Image.jpg terlihat seperti file image yang bisa diatur sebagai latar belakang desktop. Tapi, dalam pengujian sampel, file ini sepertinya tidak digunakan sama sekali, kecuali hacker secara manual mengubah latar belakang.

NE SPAT.bat digunakan untuk mengkonfigurasi berbagai pilihan layanan remote desktop. File ini dijalankan oleh hacker untuk membuat mereka tidak akan pernah terputus dari koneksi Remote Desktop saat sedang idle.

svchosts.exe, file terakhir dalam paket ini merupakan file ransomware RSAUtil. Selama finish diatur ke 0 di file config.cfg, saat dijalankan, ransomware akan memindai folder komputer, drive jaringan yang dipetakan, dan berbagi jaringan yang belum dipetakan untuk file dan mengenkripsinya.

Ransomware Bekerja

Saat peretas telah menyiapkan komputer menggunakan paket file CMD/batch dan file executable, lalu langkah berikutnya mereka siap untuk mengenkripsi target komputer. Untuk melakukan ini, mereka hanya menjalankan program svchosts.exe dan mulai memindai komputer, memetakan driver, dan jaringan berbagai yang belum dipetakan agar file dapat dienkripsi.

Tidak seperti kebanyakan ransomware, RSAUtil tidak memiliki daftar ekstensi file yang ditargetkannya. Ini berarti banyak executable di komputer akan terenkripsi juga, menjadi bagian yang paling menyebalkan saat mencoba menganalisa ransomware.

Saat mengenkripsi file, ia akan menggunakan kunci enkripsi yang ditemukan di file config.cfg dan menambahkan ekstensi ke file terenkripsi berdasarkan berbagai informasi di file konfigurasi. Misalnya bisa ditemukan, dalam setting sebagai berikut:

Id:83624883
Mail:helppme@india.com
Expansion:{MAIL}.ID{ID}

Artinya, ekstensi yang ditambahkan akan dalam format .helppme@india.com.ID83624883. Jadi sebuah file bernama coba.jpg akan dienkripsi sebagai coba.jpg.helppme@india.com.ID83624883.

Saat ransomware selesai mengenkripsi file, pada desktop muncul layar penguncian, disertai dengan pemberitahuan agar korban menghubungi helppme@india.com atau hepl111@aol.com untuk menerima instruksi pembayaran. Setelah pembayaran dilakukan, korban akan menerima kunci dekripsi yang dapat mereka masukkan ke dalam layar kunci untuk mendekripsi file mereka.

Ransomware juga membuat ransom note yang bernama How_return_files.txt di setiap folder di mana filenya telah dienkripsi. Catatan tebusan ini bisa dilihat di bawah dan berisi informasi yang sama seperti layar kunci.

Sumber berita:


https://www.bleepingcomputer.com

Tags: anti virus super ringan ESET deteksi Ransomware Ransomware RSAUtil Super Ringan

Continue Reading

Previous: Malware Tanpa Jejak Menguras ATM di 40 Negara
Next: Duo RaaS Rusia dan Kekuatiran Ancaman Siber

Related Stories

Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025
Memahami dan Mengelola Shadow IT di Era Digital Memahami dan Mengelola Shadow IT di Era Digital
5 min read
  • Sektor Bisnis
  • Teknologi

Memahami dan Mengelola Shadow IT di Era Digital

September 15, 2025
Mengenal Security as a Service (SECaaS) Mengenal Security as a Service (SECaaS)
3 min read
  • Sektor Bisnis
  • Teknologi

Mengenal Security as a Service (SECaaS)

September 15, 2025

Recent Posts

  • Hacker Kini Curi Data Anda di Tengah Jalan
  • Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Hacker Kini Curi Data Anda di Tengah Jalan Hacker Kini Curi Data Anda di Tengah Jalan
4 min read
  • Sektor Bisnis
  • Sektor Personal

Hacker Kini Curi Data Anda di Tengah Jalan

September 18, 2025
Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya
3 min read
  • Ransomware

Ancaman Ransomware Terbaru Incar Sistem Modern HybridPetya

September 18, 2025
Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025

Copyright © All rights reserved. | DarkNews by AF themes.