Cyberthreat.id – Jangan terburu-buru senang jika ada yang menawarkan decryptor (pembuka kunci enkripsi) serangan ransomware. Bisa jadi itu decryptor palsu.

Alih-alih bisa membuka jaringan komputer yang terkunci ransomware, untuk kedua kalinya Anda malah kembali diserang dengan jenis ransomware lain.

Modus serangan itu dilakukan oleh geng peretas (hacker) ransomware Zorab yang ditemukan oleh peneliti keamanan siber di MalwareHunter Team, Michael Gillespie.

Geng hacker Zorab berpura-pura menawarkan decryptor gratis untuk serangan ransomware STOP Djvu yang disebarkan di internet, tulis BleepingComputer yang diakses Minggu (7 Juni 2020).

STOP Djvu memang tidak begitu populer dibandingkan “keluarga ransomware” lain seperti REvil, Maze, Ryuk, GranCrab, DopplePaymer, atau Netwalker.

Sebagian besar peneliti keamanan siber sangat sedikit menuliskannya. Hacker STOP Djvu menargetkan korban melalui unduhan crack perangkat lunak (file untuk membuat software menjadi full version), adware, dan situs web berbahaya yang menawarkan perangkat lunak gratis.

Sejumlah crack perangkat lunak yang dijadikan penyamaran untuk menyebarkan ransomware STOP Djvu yaitu perangkat lunak KMSPico, Cubase, Photoshop, dan perangkat lunak antivirus.

Menurut ID-Ransomware, portal yang mengkhususkan diri tentang informasi ransomware, selama setahun terakhir STOP Djvu aktif melancarkan serangan. Dalam sebulan terakhir, sedikitnya 600 laporan dalam sehari masuk ke layanan identifikasi ransomware milik ID-Ransomware.

Tahun lalu, peneliti Michael Gillespie dan perusahaan cybersecurity, Emsisoft, mengeluarkan decryptor untuk varian STOP Djvu yang lebih lama, tetapi varian yang lebih baru, decryptor gratis tersebut tidak bisa bekerja.

Sebetulnya, STOP Djvu tak begitu istimewa. Namun, varian ransomware ini terus dirilis: menyerang, mengunci jaringan komputer, dan meminta tebusan. Faktanya, ada lebih dari 159 varian yang diketahui oleh peneliti BleepingComputer.

Bahkan, ada varian ransomware ini yang dibundel dengan trojan berbahaya "Azorult" sehingga benar-benar menghantam korban dua kali dalam sekali serangan, tulis BleepingComputer.

Hacker STOP Djvu biasanya meminta uang tebusan sebesar US$ 490. Jika dalam 72 jam tak dibayar, mereka menggandakan menjadi US$ 980.

Ransomware Zorab

Sama halnya dengan STOP Djvu, hacker Zorab tidaklah begitu terkenal. Namun, tampaknya mereka memanfaatkan para korban serangan STOP Djvu yang telah berputus asa untuk membuka enkripsi.

Menurut Michael Gillespie, pencipta ransomware Zorab sengaja merilis decryptor palsu STOP Djvu untuk melancarkan ransomware miliknya sendiri.

Ketika pengguna yang putus asa memasukkan informasi mengunduh decryptor palsu dan mengklik “Mulai Pindai”, justru program akan mengekstrak file executable lain yang disebut “crab.exe” dan menyimpannya ke “folder% Temp%”.

Crab.exe inilah biangnya ransomware  Zorab yang akan mulai mengenkripsi data di komputer. Saat mengenkripsi file, ransomware akan menambahkan ekstensi .ZRB ke nama file.

Ransomware juga akan membuat catatan tebusan dengan nama '--DECRYPT - ZORAB.txt.ZRB' di setiap folder tempat file dienkripsi. Pesan ini berisi instruksi tentang cara menghubungi operator ransomware untuk instruksi pembayaran.

Peneliti dikabarkan sedangn meneliti lebih lanjut soal ransomware ini. Disarankan agar pengguna tidak membayar uang tebusan.[]