Ranscam cryptographic ransomware hanya menghapus file, tidak mengenkripsi apa pun

Crypto ransomware ada di mana-mana. Program yang mengenkripsi file pengguna dan kemudian membutuhkan tebusan untuk mendekripsi data membawa banyak uang kepada pembuatnya. Di antara perangkat lunak semacam ini ada program yang benar-benar brilian. Dalam banyak kasus, pengembang malware semacam itu memenuhi janji mereka: jika pengguna membayar, ia menerima kunci untuk mendekripsi file. Tapi ini tidak selalu terjadi - terkadang kuncinya tidak datang setelah pembayaran.

Ini juga terjadi bahwa tidak hanya kunci, tetapi juga file. Ranscam adalah malware yang hanya berpura-pura menjadi crypto ransomware. Perangkat lunak berpura-pura bahwa file dienkripsi, meskipun sebenarnya semua yang dilihat pengguna di layar adalah baris perintah dengan daftar file yang dihapus. Segera setelah file dihapus, program menampilkan jendela sembulan yang meminta Anda membayar uang untuk menerima kunci enkripsi.



Di jendela informasi yang muncul, pengguna melihat pesan yang menyatakan bahwa semua file telah ditransfer ke bagian tersembunyi dari disk dan dienkripsi; semua program penting diblokir; komputer tidak dapat bekerja secara normal. Juga ditunjukkan bahwa ketika melakukan pembayaran dalam bitcoin, semuanya akan kembali ke tempatnya - pengguna akan menerima file-nya kembali.

Sedikit lebih rendah di jendela adalah bidang di mana Anda harus memasukkan data Anda setelah melakukan pembayaran. Malware diduga harus "memverifikasi" data pembayaran korban. Dikatakan juga bahwa menekan tombol tanpa melakukan pembayaran penuh dengan penghapusan semua file. Semua yang dilakukan perangkat lunak ini adalah menjalankan permintaan GET HTTP untuk menerima gambar PNG yang menunjukkan proses verifikasi kepada pengguna. Bahkan, program tidak memeriksa apa pun.

Selain itu, pembayaran tidak akan membantu - semua file dihapus dengan crypto-ransomware ketika PC terinfeksi. Penulis malware mencoba menipu korban untuk membayar uang. Perangkat lunak itu sendiri cukup sederhana - penyerang yang tidak terlalu berpengalaman jelas bekerja di dalamnya.

Virus memasuki komputer pengguna dalam bentuk file .NET yang dapat dieksekusi. File ini ditandatangani dengan sertifikat digital yang dikeluarkan oleh reca [.] Net. Tanggal penerbitan sertifikat adalah 6 Juli 2016.



Ketika korban membuka file, perangkat lunak melakukan beberapa tindakan. Pertama, program menyalin dirinya sendiri ke% APPDATA% \, dan juga mendaftar saat startup. Selain itu, ini dibongkar dalam% TEMP% \.





Program ini membuat dan menjalankan file yang dapat dieksekusi yang menemukan sejumlah folder dalam sistem korban dan berpura-pura "mengenkripsi" file-file ini. Bahkan, semuanya terhapus secara permanen.



Malware dalam kasus ini sepenuhnya membenarkan namanya, karena ia melakukan sejumlah tindakan lain yang membunuh sistem pengguna:

• Hapus semua file Windows yang bertanggung jawab untuk membuat cadangan data (Pemulihan Sistem);
• Menghapus salinan bayangan;
• Menghapus sejumlah kunci registri yang bertanggung jawab untuk memulai sistem dalam Mode Aman.

Setelah semua ini, sistem meminta file JPEG untuk menunjukkan pesan tentang perlunya membayar untuk mendekripsi file.



Setelah semua ini selesai, skrip akan mematikan komputer. Semua langkah yang dijelaskan di atas akan dilakukan setiap kali Anda menyalakan PC. Dan setiap kali malware menghapus semakin banyak file baru dan menampilkan pesan tentang perlunya membayar.



Berikut adalah daftar file yang diunduh ketika Ranscam berjalan dari server penyerang. Dia bahkan tidak repot-repot mengaburkan data.

Pakar keamanan informasi yang mempelajari malware mengirim alamat email ke virus yang ditentukan dalam pesan. "Korban" meminta bantuan dari pembuat virus, mengatakan bahwa dia tidak dapat menyelesaikan transaksi dengan Bitcoin dengan benar. Hampir segera setelah permintaan itu, sebuah tanggapan datang.



Ada permintaan bantuan lain: “Saya tidak mengerti apa-apa tentang hal-hal ini. Saya tidak mengerti apa artinya semua atau berapa biayanya, tetapi saya ingin mendapatkan komputer saya kembali. Saya punya banyak foto keluarga saya dan saya bahkan tidak bisa menjelajah. Apakah ada tempat di mana saya dapat mengirim data saya, atau mungkin ada nomor telepon di mana Anda dapat membiarkan saya membantu Anda? Saya tidak tahu apa yang saya lakukan, tetapi komputer anak saya tidak menunjukkan pesan jahat ini, apa yang harus saya lakukan? Tolong bantu kembalikan fotoku, itu penting! ”

Beberapa jam setelah permintaan, penyerang mengirim jawaban, di mana ia memberikan instruksi pembayaran yang terperinci. Setelah itu, pembuat virus tidak melanjutkan berkomunikasi. Namun, ia memberikan alamat dompet Bitcoin yang sama dengan yang terdaftar di jendela informasi yang ditampilkan oleh virus. Alamat ini adalah 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Para ahli yang mempelajari masalah memeriksa transaksi untuk dompet ini dan melihat bahwa jumlah total dana yang ditransfer sudah mencapai $ 277,61. Benar, uang ini datang ke dompet lebih awal, sampai 20 Juni. Tidak ada transaksi setelah tanggal ini.

Sejauh ini, malware ini belum menyebar terlalu banyak. Ranscam mungkin salah satu malware pertama, yang penciptanya tidak ingin melakukan pekerjaan ekstra, tetapi hanya menginginkan uang. Mengapa membuat ransomware crypto yang rumit, menghabiskan waktu dan uang untuk membuatnya, jika Anda dapat menyamarkannya sebagai virus biasa yang menghapus file dan membutuhkan uang? Pertanyaannya retoris.

Source: https://habr.com/ru/post/id396123/