alexa-tracking
Tech
Batal
KATEGORI
link has been copied
154
Lapor Hansip
18-01-2019 09:00

Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update

Halo, agan dan sista. Kali ini saya akan posting thread berjudul "Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update. Kalau misalnya thread ini repost atau berantakan, saya minta maaf. Silakan membaca.

Quote:Ransomware Fantom
Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update
Pengembang ransomware sepertinya punya mainan baru untuk menjebak pengguna komputer, entah direncanakan dan punya hubungan atau tidak, dua ransomware yang memanfaatkan Windows update sebagai alat penyamaran dalam waktu yang berdekatan rilis di alam maya.
Ransomware Domino yang pernah dibahas sebelumnya menyamar menjadi KMSpico, software ilegal untuk membajak Windows atau Office. Sedangkan yang satu lagi ransomware Fantom yang akan kita bahas kali ini, juga menggunakan tipuan Windows update untuk mengelabui korbannya.
Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update
Teknik penyamaran Fantom sangat berbeda jika dibandingkan dengan Domino yang memodifikasi aplikasi bajakan Windows Activation, Fantom memilih menggunakan fitur menarik yang menampilkan layar Windows update palsu untuk menginstal update penting terbaru untuk mengelabui pengguna Windows.
Penyamaran Windows Update
Para pengembang di balik Fantom Ransomware melakukan upaya ekstra untuk menyembunyikan aktivitas berbahaya mereka dengan berpura-pura menjadi program update penting untuk Windows. Untuk menambah legitimasi, properti file untuk ransomware menyatakan bahwa program berasal dari Microsoft dan menyebut dirinya sebagai update penting.
Ketika dieksekusi, ransomware akan mengekstrak dan menjalankan program lain tertanam bernama WindowsUpdate.exe yang menampilkan layar Windows Update palsu di bawah ini. Layar ini overlay semua aktif Windows dan tidak memungkinkan Anda untuk beralih ke aplikasi lain yang terbuka.
Dalam layar palsu pembaruan juga berisi persentase counter yang terus meningkat yang seiring dengan itu ransomware diam-diam mengenkripsi file korban di balik layar. Hal ini dilakukan untuk membuatnya terlihat seperti update palsu sedang diinstal dan memberikan alasan untuk peningkatan aktivitas pada hard drive korban.
Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update
Tampilan layar Windows update palsu sebenarnya dapat ditutup dengan menggunakan kombinasi keyboard Ctrl + F4. Ini akan menghentikan proses Windows update palsu dan menampilkan layar normal Windows Anda, tetapi ransomware akan terus mengenkripsi file Anda di latar belakang.

Cara Fantom Mengenkripsi
Beruntung kode yang disamarkan Fantom dapat dibongkar sehingga memberikan kemudahan melihat bagaimana ransomware beraksi melakukan enkripsi. Seperti ransomware lain yang menggunakan open source EDA2, Fantom akan menghasilkan kunci AES-128, mengenkripsi dengan RSA dan kemudian meng-upload ke server Command and Control.
Diawali dengan memindai local drive untuk mencari file dengan ekstensi yang menjadi target dan mengenkripsi menggunakan AES-128 encryption. File yang terenkripsi akan mendapat ekstensi tambahan .fantom. Misal: doll.jpg dienkripsi menjadi doll.jpg.fantom. Dalam setiap folder ia akan mengenkripsi file, selain itu, ransomware akan menciptakan ransom note DECRYPT_YOUR_FILES.HTML.
Fantom juga akan membuat dua file batch yang dijalankan ketika enkripsi selesai. File batcjh ini akan menghapus shadow volume copies dan executable Windows update palsu.
Ransomware selanjutnya menampilkan ransom note yang disebut DECRYPT_YOUR_FILES.HTML yang di dalamnya termasuk kunci ID korban dan memberikan alamat email fantomd12@yandex.ru atau fantom12@techemail.com untuk menerima instruksi pembayaran. Terakhir ransomware akan mengunduh gambar dan menyimpannya ke %UserProfile%\2d5s8g4ed.jpg.
Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update
Namun ada satu hal lain menarik pada ransom note, pengembang malware sepertinya tidak menguasai bahasa Inggris dengan baik, terlihat dari tata bahasa yang digunakan merupakan yang terburuk dari semua ransom note yang pernah ada.
Kemudian gambar yang menjadi wallpaper diunduh melalui URL yang kemungkinan besar bisa menjadi petunjuk untuk mengenali identitas pengembang, berikut URL tersebut:

http://content.screencast.com/users/...f/fantom1.jpg.

Sumber : 
http://www.bleepingcomputer.com


Sumber (Baca Pikir Share.org - Ransomware Fantom)

Demikian Thread yang saya buat. Kalau suka kasih emoticon-Blue Guy Cendol (L)danemoticon-Rate 5 Star. Kalau gak suka, kasih emoticon-Blue Guy Bata (L). Boleh komen di sini tapi gak boleh ada unsur SARA. Terima Kasih.
27
Fantom Ransomware, Ransomware yang menyamar sebagai Windows Update
26-01-2019 00:08
Quote:Original Posted By merepet
setau ane setelah menggunakan decrypt tools nya, baru ane tau kalo ane ambil decrypt tools nya di forum orang bule postingan tahun lalu. mereka terkena kasus ransomware code name lainnya (mungkin pumax forum di tahun lalu, beda dengan ane kena rumba) tetapi source code nya sama yaitu ransomware, pembuatnya satu sumber,
jadi sebenarnya si virus meng-enkripsi file ane dengan kode ID encrypt nya SAMA dengan kode encrypt si bule itu, jadi decrypt tool nya yg tahun lalu bisa saya ane manfaatin skr karena nomor ID enkripnya sama persis.

kalo ID encrypt nya berbeda, kemungkinan besar decrypt tool nya gak bakalan bisa dipergunakan


Bisa taruh sini gak gan link decrypt toolnya buat jaga2?
0 0
0
profile picture
kaskuser
18-02-2019 10:19
Bisa.
icon-hot-thread
Hot Threads
icon-jualbeli
Jual Beli
© 2019 KASKUS, PT Darta Media Indonesia.
All rights reserved.