Sejak pertama kali kemunculannya di tahun 2016, ransomware CrySis sudah harus berhadap-hadapan dengan ESET sebagai seterunya di dunia siber. Berkali-kali CrySis meluncurkan varian baru seperti .xtbl, .crysis, .crypt, .lock, .crypted, dan .dharma. ESET merespons dengan meluncurkan decryptor untuk menaklukkannya.
Baru-baru ini ransowmare Dharma berusaha mengecoh pengguna ESET dengan menyamar sebagai ESET AV Remover. Trik bertujuan memperdaya pengguna ESET AV Remover yang biasa dipakai oleh para teknisi IT. Apabila menjalankan aplikasi tersebut pengguna malah akan terinfeksi oleh ransomware Dharma.
AV Remover
AV Remover merupakan sebuah program kecil yang dikeluarkan oleh ESET dan didistribusikan secara gratis dengan tujuan untuk melakukan uninstall (hapus) perangkat lunak antimalware secara bersih. Biasanya dibutuhkan saat pengguna ingin melakukan uninstall namun tidak tahu produk antimalware apa yang ada di komputernya, ESET AV Remover akan melakukan pencarian software antimalware yang ada dan melakukan uninstall secara bersih. Atas dasar ini, ESET selalu memperbaharui AV Remover agar selalu dapat menghapus software antimalware terkini. ESET AV Remover banyak diunduh oleh teknisi komputer untuk membantu pekerjaan sehari-hari.
Cara kerja
Seperti kebanyakan operasi ransomware, serangan Dharma dimulai dengan email phishing. Pesan-pesan mengklaim berasal dari Microsoft dan bahwa PC Windows korban berisiko dan corrupt dengan unusual behaviour, mendesak pengguna untuk memperbarui dan memverifikasi antivirus mereka dengan mengakses tautan unduhan. Kali ini Dharma memanfaatkan versi lama ESET AV Remover untuk menutupi proses kejahatan yang dilakukan.
Saat awal, ransomware mengambil dua unduhan: payload ransomware Dharma dan versi lama perangkat lunak antivirus ESET. Ketika arsip self-extracting berjalan, Dharma mulai mengenkripsi file di belakang layar, sementara pengguna diminta untuk mengikuti instruksi instalasi ESET AV Remover.
Pengembang malware sengaja menampilkan interface pada desktop korban yang membutuhkan interaksi pengguna selama proses instalasi, tujuannya sebagai pengalih perhatian dari aktivitas jahat yang sedang mereka jalankan. Setelah instalasi selesai, korban bukan mendapat remover baru tetapi malah disuguhkan dengan ransom note atau catatan tebusan, menuntut pembayaran mata uang kripto sebagai imbalan untuk membuka kunci file.
IT Security Technical Consultant PT Prosperita–ESET Indonesia, Yudhi Kukuh dalam penjelasannya mengungkapkan: “ESET sudah sangat sering berhadapan dengan varian ransomware Dharma, Kali ini mereka menyamarkan diri sebagai ESET, dengan menempelkan ransomware mereka pada AV Remover ESET lawas, kemudian menyebarkannya ke berbagai tempat.”
“Bagi seluruh praktisi IT harap berhati-hati jika ingin mengunduh ESET AV Remover, pastikan mengunduhnya langsung dari web resmi ESET, selain lebih terjamin, juga lebih compatible untuk uninstall/hapus produk Antivirus/Antimalware yang terbaru. Link resmi untuk ESET AV Remover adalah https://www.eset.com/int/support/av-remover/ ,” pungkas Yudhi.
