Milenianews.com – Sejumlah situs porno palsu berbahaya mengandung ransomware yang secara mampu menghapus hampir semua data di perangkat pengguna. Meskipun tidak jelas bagaimana para pelaku pengancam mempromosikan situs tersebut. Mereka semua menggunakan nama host yang menunjukkan bahwa mereka menawarkan foto telanjang, seperti nude-girlss.mywire[.]org, sexyphotos.kozow[.]com, dan sexy-photo[ .]on line.
Menurut perusahaan intelijen keamanan Cyble, yang pertama kali melaporkan kampanye tersebut. Cyble mengatakan situs web akan secara otomatis meminta pengguna untuk mengunduh file yang dapat langsung mengeksekusinya. File tersebut bernama SexyPhotos.JPG.exe yang meniru gambar JPG. Pengguna akan melihat file bernama SexyPhotos.JPG di folder unduhan mereka, dan kemungkinan pengguna membuka file tersebut karena mengira itu adalah gambar.
Bagaimana Cara Ransomware di Situs Porno Palsu ini bekerja
Saat membukanya, ransomware palsu menyematkan empat executable files dan satu file batch (avtstart.bat) di direktori pengguna yang menjalankannya. Empat exe cutable files yang dimaksud adalah del.exe, open.exe, windll.exe, dan windowss.exe . File batch menetapkan ketekunan dengan menyalin keempat executable ke folder Windows Startup. Selanjutnya, “windowss.exe” berjalan untuk menjatuhkan tiga file tambahan, termasuk “windows.bat,” yang melakukan penggantian nama.
Hasilnya adalah penggantian nama semua file menjadi nama umum, seperti ‘Lock_6.fille’. Jadi, saat isi file-file ini belum memodifikasikan atau mengenkripsikan, sehinggapara korban tidak akan tahu nama asli filenya. Pada kenyataannya, ransomware palsu ini tidak mencuri data apa pun, dan seperti sebelumnya, kecil kemungkinan pembuat malware telah mengembangkan alat untuk memulihkan file.
“Bahkan jika decryptor disediakan, mengganti nama file ke nama file aslinya tidak mungkin karena malware tidak menyimpannya di mana pun selama infeksi,” komentar Cyble dalam laporan tersebut.
Baca juga : Acer Terkena Serangan Ransomware REvil Dengan Tebusan 720 Miliar
Mengutip Bleeping Computer (22/4), malware tersebut tampaknya bukan ransomware yang menggunakan enkripsi palsu, tetapi sebagai umpan sambil menghapus hampir semua file di drive Anda. Cyble menemukan setelah melakukan enkripsi palsu, malware mencoba mengeksekusi “dell.exe”. Akan tetapi karena kesalahan penamaan yang mengakibatkan menjatuhkan “del.exe”, langkah ini tidak berfungsi dalam sampel yang Cyble amati.
Jika pelaku ancaman memperbaiki kesalahan kecil ini, “dell.exe” akan berjalan untuk menghapus semua drive sistem dari [A:\ – Z:\] kecuali untuk drive C:\. Ransomware palsu ini adalah contoh yang baik tentang bagaimana kecerobohan dapat menyebabkan hilangnya data. Bahkan kehilangan data ini akibat dari malware dengan buggy yang tidak canggih.
Cara yang mungkin untuk memulihkan dari malware ini adalah dengan mengembalikan OS Anda ke keadaan sebelumnya. Hal itu karena ransomware palsu tidak menghapus salinan bayangan. Secara umum, mencadangkan data secara rutin sangat penting lantaran itu menjadi antisipasi terbaik. Sedangkan pemasangan ulang sistem operasi (OS) menjadi jalan keluar tercepat dari masalah ini.
(Reporter 5)
