Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop
  • Teknologi

RSAUtil Menyusup Masuk Lewat Layanan Remote Desktop

3 min read

Credit image: Pixabay

Hari ini kita akan membahas sekilas tentang sebuah ransomware baru yang disebut RSAUtil yang ditemukan para peneliti keamanan. RSAUtil didistribusikan oleh pengembang yang melakukan hacking ke layanan remote desktop dan mengunggah satu paket file. Paket ini berisi berbagai tool, file konfigurasi yang menentukan bagaimana ransomware dijalankan.

Untuk sementara ransomware ini saat ini belum bisa didekripsi secara gratis, para peneliti masih bekerja keras menemukan antidot untuk ransomware ini. Sebagai ransomware baru RSAUtil cukup menyulitkan meskipun bukan berarti tidak bisa ditaklukan.

Sebelum melihat komponen ransomware, mari kita awali dengan melihat konten paket yang diunggah oleh pengembang ransomware ke mesin yang diretas. Paket ini biasanya digunakan untuk pemasangan ransomware RSAUtil.

Mari melihat setiap file yang berada dalam paket, kita akan mulai pertama dengan file CMD. File ini digunakan oleh hacker untuk menghapus semua event log pada mesin untuk membersihkan jejak bagaimana mesin dikompromikan.

Clearing Events Log


DontSleep_x64.exe
dan DontSleep_x64.ini. File digunakan untuk menghentikan komputer agar tidak dalam posisi sleep atau berhibernasi. Hal ini dilakukan agar hacker tidak kehilangan koneksi dan sehingga ransomware tidak terganggu. Dan ini merupakan program legitimate yang digunakan oleh pengembang ransomware. Sedangkan How_return_files.txt adalah ransom note yang akan ditempatkan di setiap folder file yang dienkripsi.

Image.jpg terlihat seperti file image yang bisa diatur sebagai latar belakang desktop. Tapi, dalam pengujian sampel, file ini sepertinya tidak digunakan sama sekali, kecuali hacker secara manual mengubah latar belakang.

NE SPAT.bat digunakan untuk mengkonfigurasi berbagai pilihan layanan remote desktop. File ini dijalankan oleh hacker untuk membuat mereka tidak akan pernah terputus dari koneksi Remote Desktop saat sedang idle.

svchosts.exe, file terakhir dalam paket ini merupakan file ransomware RSAUtil. Selama finish diatur ke 0 di file config.cfg, saat dijalankan, ransomware akan memindai folder komputer, drive jaringan yang dipetakan, dan berbagi jaringan yang belum dipetakan untuk file dan mengenkripsinya.

Ransomware Bekerja

Saat peretas telah menyiapkan komputer menggunakan paket file CMD/batch dan file executable, lalu langkah berikutnya mereka siap untuk mengenkripsi target komputer. Untuk melakukan ini, mereka hanya menjalankan program svchosts.exe dan mulai memindai komputer, memetakan driver, dan jaringan berbagai yang belum dipetakan agar file dapat dienkripsi.

Tidak seperti kebanyakan ransomware, RSAUtil tidak memiliki daftar ekstensi file yang ditargetkannya. Ini berarti banyak executable di komputer akan terenkripsi juga, menjadi bagian yang paling menyebalkan saat mencoba menganalisa ransomware.

Saat mengenkripsi file, ia akan menggunakan kunci enkripsi yang ditemukan di file config.cfg dan menambahkan ekstensi ke file terenkripsi berdasarkan berbagai informasi di file konfigurasi. Misalnya bisa ditemukan, dalam setting sebagai berikut:

Id:83624883
Mail:helppme@india.com
Expansion:{MAIL}.ID{ID}

Artinya, ekstensi yang ditambahkan akan dalam format .helppme@india.com.ID83624883. Jadi sebuah file bernama coba.jpg akan dienkripsi sebagai coba.jpg.helppme@india.com.ID83624883.

Saat ransomware selesai mengenkripsi file, pada desktop muncul layar penguncian, disertai dengan pemberitahuan agar korban menghubungi helppme@india.com atau hepl111@aol.com untuk menerima instruksi pembayaran. Setelah pembayaran dilakukan, korban akan menerima kunci dekripsi yang dapat mereka masukkan ke dalam layar kunci untuk mendekripsi file mereka.

Ransomware juga membuat ransom note yang bernama How_return_files.txt di setiap folder di mana filenya telah dienkripsi. Catatan tebusan ini bisa dilihat di bawah dan berisi informasi yang sama seperti layar kunci.

Sumber berita:


https://www.bleepingcomputer.com

Tags: anti virus super ringan ESET deteksi Ransomware Ransomware RSAUtil Super Ringan

Continue Reading

Previous: Malware Tanpa Jejak Menguras ATM di 40 Negara
Next: Duo RaaS Rusia dan Kekuatiran Ancaman Siber

Related Stories

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
3 min read
  • Sektor Personal
  • Teknologi

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider

September 4, 2025
Iklan Palsu di Meta Sebarkan Malware Infostealer Iklan Palsu di Meta Sebarkan Malware Infostealer
3 min read
  • Teknologi

Iklan Palsu di Meta Sebarkan Malware Infostealer

September 4, 2025
Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya
4 min read
  • Teknologi

Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya

September 1, 2025

Recent Posts

  • Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
  • Iklan Palsu di Meta Sebarkan Malware Infostealer
  • Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
  • Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef
  • Mengenal Lebih Dekat Deepfake dan Cara Mendeteksinya
  • Penipuan Musim Sekolah Kembali Marak
  • Penipuan Email Terbaru Voicemail dan Purchase Order
  • Serangan Massal Menargetkan Protokol RDP Microsoft
  • PromptLock Lahirnya Ransomware Bertenaga AI Pertama
  • SIM Swapping Ancaman Serius yang Mengintai Pengguna Ponsel

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider
3 min read
  • Sektor Personal
  • Teknologi

Keamanan Browser Menjadi Pertahanan Utama Melawan Scattered Spider

September 4, 2025
Iklan Palsu di Meta Sebarkan Malware Infostealer Iklan Palsu di Meta Sebarkan Malware Infostealer
3 min read
  • Teknologi

Iklan Palsu di Meta Sebarkan Malware Infostealer

September 4, 2025
Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone
4 min read
  • Mobile Security
  • Sektor Personal

Panduan LengkapMenyembunyikan dan Mengunci Aplikasi di iPhone

September 4, 2025
Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef
3 min read
  • Sektor Personal

Operasi Malvertising Sebar Malware Pencuri Data Baru TamperedChef

September 2, 2025

Copyright © All rights reserved. | DarkNews by AF themes.