Ransomware Qwerty

Jangan pernah luput perhatian dari ransomware, mungkin tren dunia kejahatan sedikit bergeser pada Cryptojacking yang memang sangat menggoda bagi penjahat siber. Meski demikian jangan pernah mengalihkan pandangan dari malware pemeras sedikitpun, karena para pengembang ransomware tidak berhenti untuk terus memproduksi malware berbahaya ini.

Kemunculan ransomware baru sepertinya akan selalu terjadi setiap saat, seperti yang belum lama ini ditemukan, sebuah ransowmare yang memanfaatkan program enkripsi GnuPG atau GPG untuk mengenkripsi file korban. Ransomware yang disebut Qwerty ini selain mengenkripsi ia juga menimpa dokumen asli dan menambahkan ekstensi .qwerty pada file yang dienkripsi.

Inti dari serangan sudah jelas adalah GnuPG, program sah yang secara tidak sah digunakan oleh pengembang ransomware Qwerty. Sementara ransowmare lain yang pernah menggunakan GnuPG sebagai media untuk mengenkripsi seperti VaultCrypt dan KeyBTC tidak seunik ini, Qwerty bukanlah sesuatu yang umum dilihat sebelumnya.

Meskipun tidak diketahui secara pasti bagaiman ransomware Qwerty didistribusikan, tampaknya kemungkinan dipasang secara manual oleh pelaku saat mereka melakukan peretasan ke komputer yang menjalankan Remote Desktop Services.

Enkripsi Qwerty

Ransomware Qwerty terdiri dari paket file individual yang dijalankan bersama untuk mengenkripsi komputer. Paket ini terdiri dari GnuPG gpg.exe yang dapat dieksekusi, file shred.exe gnuwin32, sebuah file batch yang memuat kunci dan meluncurkan file JS, dan file JS yang digunakan untuk meluncurkan program find.exe.

File pertama yang akan diluncurkan adalah file key.bat. File ini bertindak sebagai peluncur utama untuk ransomware dengan menjalankan berbagai perintah secara berurutan. Saat file batch dijalankan, kunci akan diimpor. Setelah kunci diimpor, file batch akan meluncurkan run.js. File ini akan menjalankan program find.exe yang merupakan komponen utama ransomware. Saat menjalankan find.exe, ia akan menentukan huruf drive tertentu yang akan dienkripsi.

Ketika find.exe dijalankan maka akan meluncurkan perintah tertentu di komputer korban. Kemudian ia akan mulai mengenkripsi setiap drive di komputer dengan menjalankan perintah berikut saat mengenkripsi file:

gpg.exe –recipient qwerty -o “%s%s.%d.qwerty” –encrypt “%s%s”

Perintah ini akan mengenkripsi file menggunakan kunci publik yang diimpor dan kemudian menyimpannya sebagai file baru dengan nama yang sama, tapi sekarang dengan ekstensi .qwerty ditambahkan ke sana. Misalnya, coba.jpg akan dienkripsi dan disimpan sebagai coba.jpg.qwerty.

Saat mengenkripsi file, file tersebut akan mengenkripsi file mana pun yang tidak mengandung string berikut: Recycle, temp, Temp, TEMP, windows, Windows, WINDOWS, Program Files, PROGRAM FILES, ProgramData, gnupg, .qwerty, README_DECRYPT.txt, .exe, .dll

Setelah mengenkripsi file maka file shred.exe akan dijalankan pada file asli agar bisa menimpa file tersebut. Perlu diketahui bahwa Qwerty hanya menimpa file sekali, jadi bisa dipulihkan dengan perangkat lunak pemulihan file.

Di setiap folder yang di mana file dienkripsi, Qwerty akan membuat sebuah ransom note atau catatan tebusan bernama README_DECRYPT.txt yang berisi instruksi untuk menghubungi cryz1@protonmail.com untuk menerima instruksi pembayaran.

Untuk saat ini ransomware Qwerty masih dalam penelitian untuk dipecahkan kodenya sehingga sampai saat ini belum ada cara untuk mendekripsi file secara gratis karena hanya pelaku yang memiliki kunci dekripsinya. Karena komponen yang digunakan untuk mengenkripsi komputer, prosesnya sangat lambat, jadi ada kemungkinan untuk menemukan ransomware saat beraksi dan mematikan komputer sebelum ia mengenkripsi terlalu banyak file.

Proteksi

Untuk melindungi diri dari ransomware pada umumnya, penting bagi Anda untuk menggunakan kebiasaan komputasi dan perangkat lunak keamanan yang baik dengan menggunakan antivirus terbaik dan super ringan seperti ESET. Pertama dan tterpenting, Anda harus selalu memiliki cadangan data yang dapat diandalkan dan teruji yang dapat dipulihkan dalam keadaan darurat, seperti setelah mendapat serangan ransomware.

Qwerty tampaknya diinstal melalui layanan Remote Desktop yang diretas, karena itu sangat penting untuk memastikannya terkunci dengan benar. Ini termasuk memastikan tidak ada komputer yang menjalankan layanan remote desktop yang terhubung langsung ke Internet. Sebagai gantinya, tempatkan komputer yang menjalankan remote desktop di belakang VPN sehingga mudah diakses oleh mereka yang memiliki akun VPN di jaringan Anda. Berikut beberapa tips tambahan dalam menghadapi ransomware, langkah-langkah ini merupakan tindak pencegahan agar pengguna terhindar dari bahaya ransomware:

  1. Backup data secara rutin.

  2. Jangan membuka lampiran jika tidak tahu siapa yang mengirimnya.

  3. Jangan membuka lampiran sampai Anda mengkonfirmasi bahwa orang tersebut benar-benar mengirim Anda.

  4. Gunakan ESET Mail Security untuk memilah mana email yang berbahaya dan tidak.

  5. Pastikan semua update Windows terinstal segera setiap kali keluar yang terbaru. Pastikan juga mengupdate semua program, terutama Java, Flash, dan Adobe Reader. Program lama mengandung kerentanan keamanan yang biasanya dieksploitasi oleh pengembang malware. Oleh karena itu, penting untuk memperbaruinya.

  6. Pastikan Anda menggunakan beberapa jenis solusi keamanan yang diinstal yang menggunakan deteksi perilaku atau teknologi daftar putih.

  7. Gunakan kata sandi keras dan jangan pernah menggunakan kembali kata sandi yang sama di beberapa situs atau akun. Lapisi juga dengan Secure Authentication (2FA).

Sumber berita

bleepingcomputer