Belum lama ini sebuah ransomware baru bernama Powerware diidentifikasi oleh perusahaan keamanan berbasis di AS - Carbon Black pada komputer dari salah satu klien mereka. Powerware menggunakan kombinasi file Word, skrip makro, dan bahasa scripting PowerShell Microsoft untuk menginfeksi korban dengan payload mematikan. Terlepas dari metode yang inovatif, ransomware masih mengandalkan taktik infeksi lama yang dimulai dengan email spam yang muncul di inbox korban. Email berisi dokumen Word sebagai lampiran, yang jika dibuka akan mengelabui pengguna agar menonaktifkan "Office Protected View mode" dan kemudian melakukan mengaktifkan dukungan Macro.
Selanjutnya, rantai infeksi dimulai ketika script makro berbahaya menghubungkan secara online dan mengambil file bernama cmd.exe, yang kemudian berlanjut ke eksekusi. File ini kemudian menjalankan Microsoft PowerShell utility yang telah disertakan secara default pada semua sistem operasi Windows modern dan mengeksekusi serangkaian perintah. Perintah pertama akan menghasilkan kunci enkripsi RSA-2048, mengirim kunci untuk POWERWARE ke C&C server dan kemudian memulai proses enkripsi. Setelah semuanya dienkripsi, catatan tebusan ditampilkan pada layar korban, meminta korban untuk mengirimkan tebusan sekitar $500 dalam Bitcoin.
Kabar baiknya jika korban atau entitas perusahaan menjalankan "traffic logging system", mereka bisa mengambil kunci enkripsi asli POWERWARE, perlu diketahui bahwa pengiriman kunci enkripsi melalui C&C server tersebut melintas melalui HTTP. Jika tidak, maka hanya tersisa dua pilihan yaitu membayar uang tebusan atau memulihkan file dari sumber offline korban. Keluarga ransomware lainnya ditemukan pekan ini termasuk Petya, Maktub Locker, Xorist, Surprise, dan Samas. Selain itu, minggu ini Microsoft juga mengumumkan fitur baru di Office 2016 yang memungkinkan admin jaringan untuk memblokir makro dalam file yang berasal dari Internet.
Selanjutnya, rantai infeksi dimulai ketika script makro berbahaya menghubungkan secara online dan mengambil file bernama cmd.exe, yang kemudian berlanjut ke eksekusi. File ini kemudian menjalankan Microsoft PowerShell utility yang telah disertakan secara default pada semua sistem operasi Windows modern dan mengeksekusi serangkaian perintah. Perintah pertama akan menghasilkan kunci enkripsi RSA-2048, mengirim kunci untuk POWERWARE ke C&C server dan kemudian memulai proses enkripsi. Setelah semuanya dienkripsi, catatan tebusan ditampilkan pada layar korban, meminta korban untuk mengirimkan tebusan sekitar $500 dalam Bitcoin.
Kabar baiknya jika korban atau entitas perusahaan menjalankan "traffic logging system", mereka bisa mengambil kunci enkripsi asli POWERWARE, perlu diketahui bahwa pengiriman kunci enkripsi melalui C&C server tersebut melintas melalui HTTP. Jika tidak, maka hanya tersisa dua pilihan yaitu membayar uang tebusan atau memulihkan file dari sumber offline korban. Keluarga ransomware lainnya ditemukan pekan ini termasuk Petya, Maktub Locker, Xorist, Surprise, dan Samas. Selain itu, minggu ini Microsoft juga mengumumkan fitur baru di Office 2016 yang memungkinkan admin jaringan untuk memblokir makro dalam file yang berasal dari Internet.
0 comments:
Post a Comment
Click to see the code!
To insert emoticon you must added at least one space before the code.