Dunia maya sepertinya tidak akan pernah dibiarkan tenang walaupun hanya sekejap, pengembang ransomware bagaikan kesetanan terus memproduksi ransomware tanpa henti-henti, bila diambil rata-rata, hampir setiap hari ada saja varian baru ransomware bermunculan, seperti kemarin bagaimana dalam satu hari ditemukan tiga ransomware aktif, berikut ulasan tentang ketiga malware berbahaya itu:
Varian Baru Locky
Pasti orang akan selalu ingat satu nama ini, Locky. Sebuah nama dari mitologi Nordik dewa dari bangsa-bangsa Eropa Utara, nama yang diabadikan oleh penjahat siber sebagai ransomware ganas dan berbahaya.
Terakhir kali Locky muncul, ia menggunakan ekstensi .Zepto dan menyerang semua versi Windows, tetapi tidak menyerang Mac, Linux ataupun smartphone. Penyebaran Locky .Zepto layaknya ransomware pada umumnya, yaitu dengan menggunakan email spam dan teknik social engineering yang secara persuasif mendorong penerima membuka pesan yang dikirim.
Namun berbeda dengan varian terbaru Locky mengubah ekstensi yang sebelumnya .Zepto kini ia mengubahnya menjadi .Odin untuk file terenkripsi. Jadi bila komputer Anda terinfeksi oleh ransomware yang menambahkan ekstensi .ODIN, bukan berarti Anda terinfeksi oleh ransomware Odin, tetapi oleh Locky yang menggunakan ekstensi .ODIN.
Seperti varian sebelumnya, ransomware ini disebarkan melalui WS, JS atau lampiran email yang melekat pada email spam. Jika penerima mengklik dua kali pada salah satu file, ia akan mengunduh installer DLL terenkripsi, mendekripsinya dan menjalankannya menggunakan program Windows yang legitimate disebut Rundll32.exe.
Perintah yang digunakan untuk meluncurkan DLL adalah:
Rundll32.exe %Temp%\[name_of_dll],qwerty
Setelah dieksekusi, Locky akan mengenkripsi file korban, mengubahnya dan menambahkan ekstensi .ODIN. Misalnya coba.exe berubah menjadi 3TG45WTF.ODIN.
bersamaan dengan rilis, nama ransom note juga ikut berubah, ransom note yang mereka ciptakan oleh versi saat ini adalah _HOWDO_text.html, _HOWDO_text.bmp, and _[2_digit_number]_HOWDO_text.html.
Ransomware Nagini
Masih ingat dengan Harry Potter, buah karya pengarang kebangsaan Skotlandia, JK Rowling. dalam film itu Harry harus berhadapan dengan musuh utamanya Lord Voldemort yang memiliki seekor ular ganas Nagini. Nama ular inilah yang kemudian dijadikan inspirasi oleh pengembang malware untuk menjadikannya sebagai nama ransomware.
Ransomware Nagini, berdasarkan penelitian, malware ini masih dalam tahap pengembangan dan dirancang hanya mampu bekerja dalam sistem tertentu, yang menarik untuk disimak adalah bagaimana ransomware ini tidak lagi meminta tebusan dengan Bitcoin, tetapi meminta pengguna memasukkan nomor kartu kredit sebagai gantinya.
Ketika melihat string dalam executable, ditemukan beberapa hal yang cukup menarik. Misalnya, string PDB tertanam menunjukkan bahwa pengembang malware yang menciptakan ransomware ini bernama Colosseum.
C:\Users\Colosseum\documents\visual studio 2013\Projects\Cryptolocker\Release\Cryptolocker.pdb
Lebih lanjut, karena ransomware ini masih dalam tahap pengembangan, ia hanya menargetkan beberapa ekstensi sebagai berikut: .doc, .docx, .ppt, .pptx, .xls, .xlsx, .bmp, .png, .jpg, .jpeg, .exe, dan .pdf dan hanya file yang ditemukan dalam C:\Users\Colosseum\Desktop\files\ folder. Ransomware ini mencari file bernama C: \ Temp \ voldemort.horcrux, namun tujuan file ini saat ini tidak diketahui.
Ransomware Donald Trump
Rupanya Donald Trump punya fans berat di dunia kejahatan bawah tanah, sebagai calon presiden dari partai Republik namanya Donald Trump sering menjadi bulan-bulanan karena statmen-statmen kontroversi yang dibuatnya.
Dan berkembangnya budaya pop di dunia maya membuat nama kondang Donald Trump ikut dijadikan nama malware, yaitu ransomware Donald Trump, sepertinya Nagini, ransomware Donald trump juga sedang dalam tahap pengembangan dan baru saja di compile sebulan yang lalu, dan ada kemungkinan tidak akan pernah didistribusi, semoga saja.
Meskipun ransomware memiliki fungsi untuk mengenkripsi file menggunakan AES, tetapi dalam bentuknya sekarang, Donald Trump belum mampu mengenkripsi apa-apa, karena ransomware ini masih belum sempurna dan masih membutuhkan sentuhan lagi untuk dapat bekerja selayaknya ransomware.
Ransomware ini memang mencari file dan dengan base64 encode nama file dan kemudian menambahkan ekstensi .ENCRYPTED pada setiap file yang sesuai dengan target ekstensi file yang dicari, ekstensi file yang dicari adalah sebagai berikut:
.zip, .mp3, .7z, .rar, .wma, .avi, .wmv, .csv, .tax, .sidn, .itl, .mdbackup, .menu, .icarus, .litemod, .sav, .lvl, .raw, .flv, .m3u, .xxx, .pak, .jpg, .png, .docx, .doc, .ppt, .odt, .csv, .jpeg, .psd, .rtf, .cfg, Minecraft, alts.json, .wolfram, .dat, .dat_mcr, .mca, .Ink, .pub, .pptx, .php, .html, .yml, .sk, .txt, .mp4, .vb, .swf, .ico, .xcf, bukkit.jar, .log, .sln, .ini, .dll, .xml, .tex, .assets, .resource, .java, .js, .css, .gif,
Dalam versi ini, Anda cukup klik tombol unlock untuk mengembalikan nama file yang diubah ke nama file semula.
Sejauh ini, tidak ditemukan infeksi serius yang disebabkan oleh ransomware Donald Trump, namun demikian, pengguna komputer harus terus ekstra hati-hati jika berkaitan dengan lampiran email, karena metode penyebaran email adalah yang paling sering digunakan untuk melakukan infiltrasi atau penyusupan ke dalam sistem.
Kemunculan tiga ransomware ini sekaligus menjadi cerminan bagaimana kejahatan siber terus berevolusi dengan menciptakan berbagai varian ransomware sebagai senjata andalan mereka untuk mendapatkan keuntungan secara finansial. Upaya keras pengembang malware harus dilawan oleh kewaspadaan kita, ketelitian dan memanfaatkan teknologi keamanan terdepan dan komprehensif sebagai perlindungan utama terhadap segala serangan yang dilancarkan para penjahat dunia maya
.
Sumber berita:
www.bleepingcomputer.com
