. Keluarga berbasis NET Ransomware mengenkripsi file pengguna melalui repositori Open Source

Computer Security News

Pakar keamanan Zscaler memperingatkan bahwa dua yang baru saja ditemukan. Keluarga berbasis NET ransomware adalah enkripsi file pengguna dengan menggunakan kode sumber terbuka.

Keluarga malware disebut Vortex dan BUGWARE dan mereka telah melihat dalam hidup serangan yang dilakukan melalui email spam berisi URL yang berbahaya.

Pusaran dan BUGWARE keduanya dikompilasi di Microsoft Intermediate Language (merupakan implementasi Microsoft terhadap) dan telah dikemas dengan packer ‘Confuser’ yang disebut.

Menurut analisis Zscaler’s, Vortex ditulis dalam bahasa Polandia dan menggunakan AES-256 cipher untuk mengenkripsi gambar, audio, video, dokumen, dan file data berpotensi penting lain pada komputer korban.

Demikian pula untuk varian ransomware lainnya, Vortex tetes catatan tebusan segera setelah itu telah menyelesaikan proses enkripsi, menginformasikan korban pada bagaimana mereka dapat mengembalikan data mereka dan bagaimana cara mengirimkan pembayaran uang tebusan.

Ransomware membiarkan pengguna mendekripsi dua file mereka gratis dan menuntut $100 uang tebusan mungkin meningkat menjadi $200 dalam empat hari. Korban malware diminta untuk menghubungi para hacker melalui alamat email Hc9@2.pl atau Hc9@goat.si.

Yang diinstal ke sistem, Vortex ransomware yang berusaha untuk mencapai kegigihan melalui membuat entri registri, serta kunci registri bernama “AESxWin.” Juga, malware melihat untuk menghapus salinan bayangan yang mencegah pengguna untuk memulihkan data mereka tanpa membayar tebusan.

Selama malware komando dan kontrol (C & C) komunikasi analisis, ahli keamanan melihat malware mengirim informasi sistem dan meminta password API yang digunakan untuk enkripsi dan dekripsi kunci.

Menurut Zscaler, Vortex ransomware didasarkan pada AESxWin – utilitas enkripsi dan dekripsi freeware host di GitHub dan dikembangkan oleh pengembang Mesir Al Hamouda. Untuk alasan itu, file yang dienkripsi dapat didekripsi dengan menggunakan AESxWin jika sandi yang digunakan untuk enkripsi dikenal.

BUGWARE ransomware didasarkan pada open source kode tersembunyi merobek, yang telah dimanfaatkan untuk membuat keluarga ransomware lain beberapa waktu lalu.

BUGWARE juga menggunakan sertifikat yang tidak valid berpura-pura menjadi GAS INFORMATICA LTDA, meminta korbannya untuk membayar setara dengan seribu Brasil Real Monero.

Ransomware membuat daftar jalan untuk mengenkripsi dan menyimpannya dalam sebuah file bernama Criptografia.pathstoencrypt dan mencari semua jaringan tetap dan removable drive, menambahkan semua path ke daftar.

Para ahli juga memperhatikan bahwa BUGWARE adalah menghasilkan kunci enkripsi dan menggunakan algoritma AES 256-bit untuk mengenkripsi file pengguna, serta mengubah nama file yang dienkripsi. AES kunci dienkripsi juga, menggunakan kunci publik RSA, dan tombol base64 dikodekan disimpan dalam registri.

Untuk mencapai ketekunan, BUGWARE ransomware menciptakan menjalankan kunci yang menjamin dijalankan setiap kali pengguna log ke komputer. Dalam kasus malware mendeteksi setiap removable drive, tetes salinan sendiri pada mereka, bernama “fatura-vencida.pdf.scr.”

Selain itu, BUGWARE perubahan latar belakang desktop korban yang menggunakan file gambar yang di-download dari “i[.]imgur.com/NpKQ3KZ.jpg.”


Leave a Reply

Your email address will not be published. Required fields are marked *