Wednesday, January 6, 2016

Ransomware Ransom32 Javascript yang Pertama.

wihartoyo wihartoyo     Wednesday, January 06, 2016     No comments

Bayangkan bila pagi-pagi, ketika semangat sedang tinggi-tingginya kemudian ketemu bebegig, gandarwa, kuntilanak, banaspati, lampor, betara kala atau apapun yang mengerikan. Neg!

Itu yang saya temui pagi ini, ibarat ketemu yang macem-macem itu, pagi ini saya baca berita yang ngasi kabar bahwa saat ini sudah ada ransomware yang dibangun dengan javascript. Parahnya, ransomware ini menggunakan NW.js, yang umumnya digunakan pada webkit dan turunannya atau untuk membuat aplikasi yang memanfaatkan HTML dan CSS. Dan bila dlihat dari bahan bakunya, maka ransoware ini bersifat platform independent alias bisa menginfeksi platform apapun, baik Linux, Mac, apalagi Windows. Menurut Fabian Wosar ahli pengamanan dari Emsisoft (Emsisoft GmbH http://www.emsisoft.com ),  ransomware jenis ini bisa sangat mudah dikemas untuk menginfeksi Linux maupun Mac.

Penampakan Ransom32

Ransom32, pada awalnya hanya menginfeksi Windows. Bahkan pada beberapa variant berikutnya, masih hanya bermain di Windows. Namun, ketika ia menggunakan NW.js, maka bukan lagi windows yang bisa mereka permainkan. Mac dan Linux, kemudian menjadi ladang pemerasan berikutnya.

Meskipun secara normal, javascript hanya bisa bermain melalui browser, namun penggunaan NW.js membuka kemungkinan interaksi dengan Operating System sebagaimana bisa dilakukan dengan menggunakan bahasa pemrograman seperti C++ atau Delphi.

Ransom32 saat ini sudah dijual sebagai suatu”layanan” sebagai ransomware-as-a-service.  Beberapa pengembang ransomware meminta prosentase dari pembayaran ransom, sementara yang lain meminta bagian dari keuntungan. Dan sebagaimana crypto-malware lainnya, orang yang pengin menyebarkan ransomware ini akan bersembunyi dengan memanfaatkan jaringan TOR (the onion router) untuk mendapatkan ransomware pesanannya untuk kemudian menyebarkannya melalui spam e-mail setelah menginput alamat bitcoin tempat korban harus mentransfer bitcoin. Selain e-mail, web interface juga bisa menjadi kendaraan cyber bagi penyebaran ransomware.

Penampakan Ransomware32

Tidak seperti ransomware lain yang hanya berukuran 1MB, Ransom32 ini berukuran 32MB. Ukuran yang sangat besar. Dalam hal ukuran mungkin buat kita yang masih berjalan pada koneksi pas-pasan akan cukup aware bahwa “ada sesuatu yang sedang turun” dari suatu tempat ke komputer kita. Namun buat yang tersambung degan koneksi tinggi, mungkin akan sulit mendeteksi “kehadiran penjahat” pada device kita.  Dan dari segi ukuran mungkin beberapa antivirus akan mengabaikannya karena secara default hanya melakukan scanning untuk file di bawah 30MB atau bahkan di bawah 10MB.

Dan lebih parah lagi, karena Ransom32 menggunakan NW.js yang merupakan software legitimate, antivirus juga akan kesulitan untuk menentukan signature yang bisa membedakan NW.js yang digunakan oleh Ransom32 atau NW.js yang digunakan oleh aplikasi lain yang legitimate.

Ransom32 akan dikemas sebagai sel extracted rar file dan akan membuat shortcut pada folder startup dari user dengan menamakan diri sebagai ChromeService, yang akan memastikan bahwa malware akan selalu tereksekusi setiap saat melakukan booting. Bila ini telah terjadi, maka bersiaplah untuk mendapati bahwa dokumen dan file multimedia kita telah terenkripsi dengan AES key tersimpan di dalam file yang terenkripsi. Korban hanya diberikan waktu sampai 4 hari sebelum AES key yang digunakan untuk mendekripsi file akan dihapus sehingga file tidak akan pernah bisa kagi didecrypt.

Memperhatikan hal-hal di atas, maka ada baiknya bila:
  1. Tidak mengaktifkan javascript file sebagai runable file.
  2. Berhati-hati dalam menginstall Node.js. Installasi Node.js akan membuat javascript bisa dijalankan melalui shell (command line).
  3. Berhati-hati dengan setiap attachment yang dikemas sebagai rar yang berukuran kurang lebih 32MB terutaa dari orang tidak dikenal.


Demikian moga-moga bermanfaat.

,

0 komentar :

Berita PostgreSQL

Recommended