Serangan Ransomware belum selesai

By : Hanugra Aulia Sidharta, S.T., M.MT.

                Setelah kemunculan ransomware sejak tahun 2017, muncul berbagai jenis varian dari ransomware. Beberapa saat yang lalu varian ransomware ditemukan di China dengan menginfeksi sejumlah 100.000 PC, serangan ini berkembang menginfeksi komputer yang lain melalui jaringan internet. Tidak seperti varian ransomware seperti WannaCry, jenis ransomware lokal ini meminta tebusan dalam mata uang yuan sejumlah 110 yuan, dan uang tersebut dikirim melalui aplikasi WeChat, sebuah aplikasi layanan chat.

Tidak seperti WannaCry atau NotPetya, varian ransomware ini hanya menyerang user di negara China. Selain meminta tebusan. Varian ini juga dilengkapi dengan kemampuan untuk mencuri user dan password beberapa produk lokal di China, seperti Alipay, NetEase 163 email service, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall , AliWangWang, dan QQ.

Menurut Velvet Security (https://www.huorong.cn/info/1543934825174.html), sebuah perusahaan yang bergerak di cyber security dan anti virus, pembuat varian ini menggunakan perangkat lunak “EasyLanguage“. Varian lokal ini juga dilengkapi kemampuan untuk menginfeksi setiap aplikasi atau software yang ada di dalam PC, dan kemudian akan menular ke komputer yang lain melalui jaringan internet.

Untuk menyembunyikan diri dari deteksi anti virus, malware ini masuk ke dalam komputer menggunakan program asli dengan digital signature yang asli. Setelah menginfeksi komputer maka malware ini akan melakukan enkripsi semua file dan folder yang ada di dalam hardisk korban. Setelah semua file berhasil di enkripsi akan muncul sebuah pop up yang memberi info bahwa komputer telah menjadi korban dan korban harus membayar sejumlah 110 yuan melalui WeChat dalam rentang waktu 3 hari. Jika korban memilih mengacuhkan dan tidak membayar tebusan dalam jangka waktu 3 hari, maka malware tersebut mengancam akan menghapus decryption key dari server secara otomatis sehingga semua data tidak dapat dikembalikan.

Namun tidak lama setelah penyebarannya, peneliti keamanan jaringan setempat berhasil melakukan reverse engineering berkat kode yang ditulis secara buruk. Dari hasil investigasi diketahui bahwa malware tersebut berbohong mengenai proses enkripsi. Dari pop up dikatakan bahwa semua file di enkripsi menggunakan algoritma DES, namun dalam kenyataannya enkripsi hanya dilakukan menggunakan XOR cipher yang jauh lebih sederhana. Kemudian key juga tidak disimpan di dalam server, namun disimpan di salah satu folder lokal.

Menggunakan informasi tersebut, tim keamanan jaringan Velvet berhasil membuat program untuk melakukan deskripsi. Peneliti juga berhasil meretas server database yang digunakan oleh pembuat malware, dan ditemukan ribuan data korban yang berhasil diretas.