Cyberthreat.id – Peneliti MalwareHunterTeam menemukan varian ransomware baru bernama “CoronaVirus”. Ransomware ini didistribusikan melalui situs web palsu yang berpura-pura mempromosikan sebuah aplikasi peningkatan sistem performa komputer: WiseCleaner.

Peneliti mengatakan, aktor di balik serangan itu memanfaatkan kekhawatiran publik akan wabah Covid-19. Mereka menyebarkan ransomware CoronaVirus dan trojan Kpot—pencuri kata sandi dan informasi lain.

Untuk mendistribusikan malware, para penyerang telah membuat situs web yang meniru situs utilitas sistem Windows WiseCleaner.com yang sah.

Unduhan di situs ini tidak aktif tetapi telah mendistribusikan file yang disebut WSHSetup.exe yang saat ini bertindak sebagai pengunduh untuk CoronaVirus dan Kpot.

Ketika program dijalankan,menurut BleepingComputer, Jumat (13 Maret 2020), program akan mencoba mengunduh berbagai file dari situs web jarak jauh. Saat ini, hanya file1.exe dan file2.exe yang tersedia untuk diunduh, “tetapi Anda dapat melihat bahwa ia mencoba mengunduh total tujuh file,” tulis BleepingComputer.

File pertama yang diunduh oleh installer adalah file1.exe'dan merupakan trojan Kpot.

Ketika dijalankan, Kpot akan mencoba mencuri cookies dan login kredensial dari browser web, program perpesanan, VPN, FTP, akun email, akun game seperti Steam dan Battle.net, dan layanan lainnya. Malware ini juga akan mengambil tangkapan layar desktop aktif dan berupaya mencuri dompet cryptocurrency yang tersimpan di komputer yang terinfeksi.

Informasi ini kemudian diunggah ke situs jarak jauh yang dioperasikan oleh para penyerang.

File kedua, file2.exe, adalah CoronaVirus, yang akan digunakan untuk mengenkripsi file di komputer. Saat mengenkripsi file, itu hanya akan menargetkan file yang berisi ekstensi berikut:

.bak, .bat, .doc, .jpg, .jpe, .txt, .tbc, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax , .gif, .gbr, .png, .mdb, .mdf, .sw, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods,. rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vf, .epf, .epx, .mxl, .cfu, .mht, .bak, .old.

File yang dienkripsi akan diganti namanya sehingga terus menggunakan ekstensi yang sama, tetapi nama file akan diubah ke alamat email penyerang. Misalnya, test.jpg akan dienkripsi dan diganti namanya menjadi 'coronaVi2022@protonmail.ch___1.jpg'.

Dalam beberapa kasus, seperti di bawah ini, ia dapat menambahkan alamat email beberapa kali ke nama file.

Di setiap folder yang dienkripsi dan di desktop, catatan tebusan bernama CoronaVirus.txt akan dibuat yang meminta tebusan 0,008 (~ $ 50) dalam bentuk Bitcoin ke alamat Bitcoin hardcoded dari bc1qkk6nwhsxvtp2akunhkke3tjcy2wv2zkk00xa3j, yang belum menerima pembayaran apa pun.

Ransomware juga akan mengganti nama drive C: ke CoronaVirus seperti yang ditunjukkan di bawah ini, yang tidak menambahkan apa pun selain penyerang yang mengendalikan para korban.

Saat reboot, ransomware akan menampilkan layar kunci yang menampilkan teks yang sama dari catatan tebusan sebelum Windows dimuat seperti yang terlihat di bawah ini.

“Ini adalah ransomware yang aneh dan masih dianalisis untuk kelemahannya,” tulis BleepingComputer.

Siapa pun yang telah terinfeksi serangan ini harus segera menggunakan komputer lain untuk mengubah semua kata sandi daring mereka karena kini telah disusupi oleh pencuri info Kpot.[]

Redaktur: Andi Nugroho