IND | ENG
Muncul Varian Baru Malware Pengunci Windows

Ilustrasi | Foto: freepik.com

Muncul Varian Baru Malware Pengunci Windows
Andi Nugroho Diposting : Minggu, 05 April 2020 - 13:05 WIB

Cyberthreat.id – Persebaran perangkat lunak berbahaya (malware) dengan memanfaatkan momen wabah Covid-19 masih terus berjalan. Terbaru, peneliti mendapati adanya varian baru malware MBRLocker yang dirilis bertema virus corona.

MBRLocker adalah program yang menggantikan “master boot record (MBR)” dari komputer, sehingga mencegah sistem operasi memulai (start). Selanjutnya, di layar komputer justru terpampang catatan tebusan atau pesan lain dari penyerang.

Yang termasuk dalam tipikal serangan MBRLocker, seperti ransomware Petya dan GoldenEye. Geng penjahat ini biasanya mengenkripsi tabel yang berisi informasi partisi hard disk milik korban. Enkripsi ini menyebabkan korban tidak bisa mengakses file hard disk juga mempartisi MBR tanpa memasukkan kode atau membayar uang tebusan.

Seperti dikutip dari BleepingComputer, Kamis (2 April 2020), peneliti MalwareHunterTeam menemukan penginstal untuk malware baru dengan nama "Coronavirus" didistribusikan sebagai file COVID-19.exe.

Ketika diinstal, malware akan mengekstraksi banyak file ke folder “%Temp%”, kemudian mengeksekusi file batch  (berkas teks yang berisi beberapa seri perintah/command line yang dapat dijalankan Windows) bernama Coronavirus.bat.

File batch itu akan memindahkan file yang diekstraksi ke folder C:\COVID-19, mengonfigurasi berbagai program untuk memulai secara otomatis saat login, dan kemudian menyalakan ulang (restart) Windows.


File Coronavirus.bat.


Gambar virus corona yang muncul.


MBRLock lock screen.


Setelah Windows di-restart, gambar Coronavirus akan ditampilkan bersama dengan pesan yang menyatakan "coronavirus telah menginfeksi PC Anda!"

SonicWall dan Avast—keduanya perusahaan keamanan siber—juga melakukan analisis terhadap perilaku malware MBRLocker. Menurut penelitian mereka, program lain juga akan dieksekusi oleh malware sehingga membuat cadangan MBR drive ke lokasi lain, kemudian menggantinya dengan MBR kustom.

Saat reboot, MBR kustom akan menampilkan pesan yang menyatakan "Komputer Anda Telah Terganggu" dan Windows tidak akan bisa memulai (start).

Squidward/RedMist version. | Foto-foto: BleepingComputer


Untungnya, analisis Avast menunjukkan, ada cara menerobos (bypass) yang telah ditambahkan ke kode MBR kustom, sehingga memungkinkan pengguna mengembalikan MBR asli dan dapat boot secara normal. Ini dapat dilakukan dengan menekan tombol CTRL + ALT + ESC secara bersamaan.

Penelitian juga dilakukan BleepingComputer dan menemukan varian lain dari pengembang malware yang sama yang disebut 'RedMist'. Saat diinstal, alih-alih menampilkan gambar virus corona, gambar itu menunjukkan gambar “Squidward” yang menyatakan "Squidward sedang mengawasi Anda".

Namun, varian malware ini akan memperingatkan pengguna bahwa setelah booting  ulang tidak akan dapat mengakses Windows lagi.[]

#malware   #coronvirus   #mbrlocker   #ransomware   #petya   #goldeneye   #masterbootrecord   #windows

Share:

BACA JUGA
Hacker Maze Bobol Kontraktor Rudal Nuklir AS, Dokumen Sensitif Dibocorkan di Internet
BSSN Terbitkan Panduan Keamanan di Perangkat Port Thunderbolt
Hacker Curi Database SQL dari Toko Online, Meminta Tebusan Bitcoin
Kepercayaan di Pasar Gelap Terkikis, Hacker Beralih Jualan ke E-commerce
Viral Foto Danau Bikin Ponsel Samsung Eror: Malware atau Bukan?