IND | ENG
Hacker Zorab: Si Penolong Palsu, Penginfeksi Ransomware!

Ilustrasi | Foto: vadesecure.com

Hacker Zorab: Si Penolong Palsu, Penginfeksi Ransomware!
Andi Nugroho Diposting : Senin, 08 Juni 2020 - 08:55 WIB

Cyberthreat.id – Dengan masih menyisakan kopi pagi di cangkir favoritnya, Bob menyalakan komputer.

Sambil menunggu proses booting selesai, Bob menata berkas-berkas kerjanya yang semalam ditinggalkannya berserakan.

Ketika komputer menyala, ia langsung menuju file yang disimpannya semalam.

Ia klik, tapi tidak bisa. File terkunci. Foto, video, atau dokumen: tak ada yang bisa dibuka oleh Bob. Ia panik.

Bob kesal dengan setengah berteriak kesal. Pasrah. Ia tak bisa kembali melanjutkan proyek kerjanya.

Ada yang aneh dengan tampilan file. Ekstensi File bertambah “.ZRB”.

Kisah Bob di atas sebatas gambaran bagaimana serangan geng peretas (hacker) ransomware  Zorab.

File-file di komputer Bob dikunci, lalu di ekstensi file terdapat “.ZRB”—inilah kode bahwa komputer telah terinfeksi ransomware Zorab.

Zorab tak ada bedanya dengan “keluarga ransomware” lain, seperti Ryuk, Maze, Sodinokibi/REvil, atau DopplePyamer. Cara kerja perangkat lunak jahat ini adalah mengunci atau mengenkripsi dokumen pribadi di komputer korban.

Geng hacker satu ini juga memeras korbannya. Jika ingin mendapatkan decryptor alias pembuka enkripsi, bayar dulu uang tebusannya.

Mereka biasa menampilkan pesan atau instruksi pembayaran untuk mendapatkan decryptor. Peretas menaruh file bernama “-DECRYPT – ZORAB.txt” sebagai petunjuk pembayaran. Permintaan uang biasanya dalam bentuk mata uang kripto Bitcoin atau Ethereum.

Baru-baru ini, aksi geng Zorab terdeteksi. Peneliti keamanan siber di MalwareHunter Team, Michael Gillespie, mendapati modus baru mereka.

Geng Zorab berpura-pura menawarkan decryptor gratis untuk ransomware STOP Djvu. Yang terjadi, alih-alih korban STOP Djvu bisa membuka enkripsi, justru menjadi korban kedua kalinya dengan varian ransomware lain. (Baca: Awas Decryptor Ransomware Palsu! Sekali Klik, Anda Kena Ransomware Lagi)

Ketika pertama kali terinfeksi dengan Zorab, “Komputer Anda akan dipindai oleh peretas yang mencari gambar, video, dan dokumen dan file produktivitas penting seperti .doc, .docx, .xls, .pdf,” tulis Stelian Pilici, pendiri MalwareTips.com dalam tulisannya soal ransomware Zorab pada 30 Mei 2020.

Ketika file-file itu terdeteksi, ransomware akan mengenkripsi mereka dan mengubah ekstensi menjadi ".ZRB".

“Para korban akan diminta untuk menghubungi pencipta ransomware Zorab melalui alamat email zorab28@protonmail.com,” kata Pilici.

Berikut ini adalah contoh pesan dari hacker Zorab:

    - + - = ZORAB = - + -

 Perhatian! Perhatian! Perhatian!

Dokumen, foto, basis data dan file penting lainnya dienkripsi dan memiliki ekstensi: .ZRB

Jangan khawatir, Anda dapat mengembalikan semua file Anda!

Satu-satunya metode memulihkan file adalah dengan membeli alat dekripsi dan kunci unik untuk Anda.

Perangkat lunak ini akan mendekripsi semua file terenkripsi Anda.

jika Anda ingin mendekripsi file Anda

Satu-satunya metode memulihkan file adalah dengan membeli alat dekripsi

Alat ini akan mendekripsi semua file terenkripsi Anda.

Untuk mendapatkan perangkat lunak ini, Anda perlu menulis di e-mail kami: zorab28@protonmail.com

Jaminan apa yang kami berikan kepada Anda?

Ini hanya bisnis. Kami benar-benar tidak peduli dengan Anda dan penawaran Anda, kecuali mendapatkan manfaat.

Anda dapat mengirim 2 file terenkripsi dari PC Anda dan kami mendekripsi secara gratis.

+ –Peringatan– +

JANGAN mencoba mengubah file sendiri, JANGAN menggunakan perangkat lunak pihak ketiga untuk memulihkan data Anda.

Cara Zorab menyerang

Menurut Pilici, operator ransomware Zorab biasa menargetkan korban dengan modus email spam. Informasi yang mereka berikan biasanya palsu.

Misalnya, mereka mengaku berasal dari perusahaan A atau B. Email mereka memberitahu sang target dengan bahasa yang memikat, sehingga tertarik untuk mengkliknya.

Selain itu, Pilici mengatakan, Zorab juga menyerang korban dengan mengeksploitasi kerentana dalam program yagn diinstal pada komputer atau sistem operasi itu sendiri.

“Perangkat lunak yang biasa dieksploitasi seperti aplikasi browser, Ms Office, dan masih banyak lagi," tulis Pilici.

Sejumlah perusahaan keamanan siber telah memberikan tips bagaimana menghilangkan Zorab dari komputer. Namun, Cyberthreat.id tidak menuliskan di sini, bisa jadi rekomendasi tersebut sudah tidak cocok lagi dengan varian ransomware Zorab terbaru.

Di beberapa negara, seperti AS, Australia, Kanada, Jerman, Perancis, Irlandia, Selandia Baru, telah menyediakan pusat pelaporan serangan siber, termasuk ransomware.

Di Indonesia, pusat pelaporan serangan siber juga sudah tersedia. Jika Anda mengalami serangan Zorab atau insiden siber lain, segera saja lapor ke Badan Siber dan Sandi Negara (BSSN). Baca: Anda Mengalami Insiden Siber, Ini Cara Lapor ke BSSN.[]

#ransomware   #ransomwarezorab   #zorab   #serangansiber   #ancamansiber   #bssn   #keamanansiber

Share:




BACA JUGA
Seni Menjaga Identitas Non-Manusia
BSSN-Huawei Techday 2024
Keamanan Siber Membutuhkan People, Process, dan Technology.
BSSN dan Bank Riau Kepri Syariah Teken Kerja Sama Perlindungan ITE
Indonesia Dorong Terapkan Tata Kelola AI yang Adil dan Inklusif
Phobos Ransomware Agresif Targetkan Infrastruktur Kritis AS