Sebuah tim peneliti keamanan telah menemukan, menganalisis versi ransomware baru yang dikenal sebagai Alpha Ransomware. Ransomware ini mempunyai prilaku yang aneh dibandingkan dengan versi ransomware lainnya, Ketika menginfeksi korban, Alpha selektif mengenkripsi file korban. Pada sistem drive (biasanya, C:), menargetkan 249 jenis file termasuk di Desktop, My Pictures, dan folder Cookies. Pada drive lain, akan mengenkripsi semua file kecuali file INI. Jenis file yang ditargetkan untuk SystemDrive adalah:
.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra
Ransomware ini menggunakan enkripsi AES-256 untuk mengunci file, dan kemudian menambahkan nama pada setiap file dengan ekstensi .encrypted. Setelah proses enkripsi berakhir, ransomware menambahkan catatan tebusan dalam format teks di setiap folder file. Menurut catatan tebusan, penyerang meminta dana sebesar $400. Ini adalah ransomware ketiga yang ditemukan dalam sepekan, meminta iTunes gift cards bukannya Bitcoin. Para peneliti sebelumnya menemukan Cyber.Police dan TrueCrypter ransomware.
Peneliti keamanan Michael Gillespie adalah salah satu yang membuat Decrypter Alpha Ransomware. Decrypter ini tersedia untuk di-download melalui Bleeping Computer website. Decrypter memiliki tingkat deteksi yang tinggi di VirusTotal, namun masalah tersebut telah teridentifikasi karena adanya masalah kode yang rumit. Michael Gillespie, MalwareHunterTeam, dan Bleeping Komputer sebelumnya telah memberikan banyak decrypters ransomware lainnya dan tidak terdeteksi sebagai trojan pada VirusTotal scan.
0 comments:
Post a Comment