Ransomware Serpent, Ular Ganas Mematikan

Sebuah ransomware baru yang disebut Serpent ditemukan sedang didistribusikan melalui email spam. Determinasi ransomware ini juga tak kalah dari para pendahulunya dan jika dirunut ulang, ransomware ini tampaknya merupakan varian baru dari keluarga baru HadesLocker dan Wildfire.

BacaPikirShare akan memberikan paparan singkat beberapa hal yang berhubungan dengan metode distribusi yang dilakukan oleh Serpent serta informasi rinci tentang apa dan bagaimana Serpent bekerja berdasarkan source code-nya, sebagai berikut:

Distribusi Serpent

Ransomware Serpent didistribusikan melalui email spam menargetkan korban dari Denmark di mana email tersebut berpura-pura menjadi faktur outstanding. Email ini memiliki subjek seperti “påmindelse Sidste untuk udestående faktura 1603750” dan berisi link ke dokumen Word yang mengharuskan korban untuk mengunduh.

Apabila user mengunduh dan membuka dokumen Word, dokumen ini akan mencoba dan mengelabui pengguna untuk mengaktifkan macro dengan meminta mereka mengklik pada tombol konten Aktifkan seperti yang ditunjukkan di bawah ini. Setelah pengguna mengklik tombol ini, macro akan mengeksekusi dan mengunduh kemudian menginstal ransomware Serpent.

Para peneliti keamanan mampu deobfuscate dan mengambil source code ransomware Serpent, dari sini banyak hal dapat dipelajari, memberikan wawasan yang lebih luas untuk mempelajari bagaimana ransomware beroperasi.

Ketika Serpent Ransomware dijalankan, ia akan menyalin dirinya ke folder secara acak dalam folder %AppData%. Serpent kemudian akan terhubung ke http://ipinfo.io/json untuk menentukan alamat IP korban dan negara. Jika ransomware mendeteksi bahwa alamat IP berasal dari salah satu negara berikut, maka ransomware akan keluar dan batal mengenkripsi komputer.

Armenia, Azerbaijan, Belarus, Georgia, Kirgistan, Kazakhstan, Moldova, Rusia, Turkmenistan, atau Tajikistan

Jika komputer bukan salah satu negara di atas, maka akan terhubung ke ransomware dan mengirimkan korban id unik hardware, ID kampanye, alamat IP, dan negara. Untuk menanggapi server command & control akan merespon dengan kunci publik RSA.

Ransomware Serpent maka akan menghentikan proses sebagian besar terkait database berikut sehingga file mereka tidak digunakan dan dengan demikian bisa dienkripsi.

msftesql.exe, sqlagent.exe, SqlBrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50. exe, sqbcoreservice.exe
Enkripsi Serpent

Serpent sekarang akan melanjutkan untuk mengenkripsi data pada komputer korban dengan mencari file yang berisi ekstensi file tertentu. Jika ia mendeteksi file yang menjadi target dan mulai mengenkripsi file menggunakan enkripsi AES-256. Sementara mengenkripsi file, Serpent juga akan menambahkan ke file kunci enkripsi AES, yang selanjutnya dienkripsi dengan kunci RSA yang diunduh.

Saat ransomware Serpent mengenkripsi file, pada bagian akhir nama file ditambahkan ekstensi .serpent. Sebagai contoh, sebuah file bernama coba.jpg setelah dienkripsi diganti menjadi coba.jpg.serpent.

Selama proses ini, Serpent juga akan menghapus Windows Volume Shadow Copies sehingga tidak dapat lagi digunakan untuk memulihkan file. Perintah yang dieksekusi untuk menghapus Windows Volume Shadow Copies adalah:

WMIC.exe shadowcopy delete /nointeractive

Bila telah selesai mengenkripsi drive, Serpent akan menggunakan perintah Cipher.exe menimpa data yang dihapus untuk membuatnya lebih sulit untuk memulihkan file. Perintah yang digunakan adalah:

Cipher.exe / W: [root_directory_of_drive]

Saat sedang beraksi, ransomware juga akan membuat file VBS di folder Startup Start Menu sehingga ransomware akan tetap berjalan setiap kali korban login ke komputer. Contoh script VBS ini dapat dilihat di bawah ini.

Bila telah selesai, catatan tebusan bernama HOW_TO_DECRYPT_YOUR_FILES_ [random_3_chars] html dan HOW_TO_DECRYPT_YOUR_FILES_ [random_3_chars] .txt akan diatur seluruh komputer dan pada desktop Windows.

Ketika korban membuka salah satu ransom note, mereka akan diberikan link menuju situs pembayaran Serpent Ransomware. Link ini berisi ID hardware unik korban sehingga korban bisa login dan melihat rincian tentang pembayaran uang tebusan.

Situs Pembayaran

Ketika korban menggunakan salah satu link ransom note, mereka akan dibawa ke situs pembayaran Serpent Ransomware. Situs ini berisi informasi seperti jumlah tebusan, alamat bitcoin pembayaran harus dilakukan untuk, sebuah halaman tanya, dan halaman dukungan.

Saat ini pembayaran uang tebusan ditetapkan sebesar 0,75 Bitcoins atau $730 USD setara dengan 9,8 juta rupiah. Jika jumlah uang tebusan tidak dibayar dalam waktu 7 hari, jumlah ini akan meningkat menjadi 2,25 Bitcoins, atau sekitar $ 2.200 USD sekitar Rp29 juta.

Untuk situs pembayaran ransomware Serpernt terdiri dari beberapa halaman yang memiliki fungsinya masing-masing yaitu sebagai berikut:

  • Halaman utama situs pembayaran berisi timer 7 hari hitung mundur, jumlah pembayaran uang tebusan, alamat bitcoin untuk mengirim pembayaran, dan bagian yang membahas berapa banyak pembayaran telah dilakukan dan status mereka.
  • Halaman FAQ ransomware Serpent berisi daftar pertanyaan yang sering diajukan tentang apa yang telah terjadi ke file korban.
  • Halaman instruksi berisi informasi tentang cara menggunakan decryptor setelah pembayaran telah dibuat.
  • Halaman dukungan berisi formulir di mana korban dapat meminta pengembang malware pertanyaan.

Tindakan pencegahan

Sampai detik ini para peneliti keamanan masih berusaha keras untuk menemukan penangkal ransomware Serpent. Karena itu, untuk melindungi komputer dari serangan ransomware ada beberapa langkah pencegahan yang harus dilakukan, sebagai berikut:

  • Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  • Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
  • Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
  • Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  • Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  • Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam.
  • Pastikan Software ESET di komputer Anda selalu dan sudah terupdate.
  • Bagi pengguna ESET gunakan konfigurasi ESET Anti Ransomware Setup.

Sumber berita:
www.bleepingcomputer.com