JSWorm: Ransomware Terkenal

  • Whatsapp
JSWorm: Ransomware Terkenal

 

Lingkungan ancaman ransomware telah bergeser selama beberapa tahun terakhir. Menyusul wabah ransomware besar di tahun 2017, seperti WannaCry, NotPetya, dan Bad Rabbit, banyak pelaku ransomware telah beralih ke strategi rahasia yang menguntungkan “perburuan game besar”. Berita tentang ransomware yang memicu gangguan layanan di perusahaan multinasional telah menjadi hal biasa.
Sejak penemuan ransomware JSWorm pada tahun 2019, banyak varian telah mendapatkan popularitas dengan berbagai nama seperti Nemty, Nefilim, Offwhite, dan lainnya. Sebagai bagian dari setiap edisi “yang diganti merek”, beberapa versi dirilis yang mengubah berbagai aspek kode, ekstensi file yang diganti namanya, skema kriptografi, dan kunci enkripsi.
JSWorm adalah varian ransomware dari keluarga malware GusCrypter. Tujuannya adalah untuk memeras uang dari para korban dengan mengenkripsi semua data pribadi dan meminta tebusan untuk kunci dekripsi. Itu adalah anggota klan GusCrypter. JSWorm biasanya dikirim melalui lampiran email spam.
Malware juga meninggalkan catatan tebusan, JSWORM-DECRYPT.html, yang menginstruksikan korban untuk menghubungi penjahat melalui alamat email [email protected] jika mereka ingin datanya kembali. Karena JSWorm milik keluarga ransomware terkenal, ada kemungkinan bahwa enkripsi akan permanen.
Meskipun ransomware JSWorm tidak mengenkripsi file sistem, ia memodifikasi sistem Anda dengan cara lain. Sebagai hasil dari nilai Registri Windows yang diubah, ransomware diluncurkan setiap kali pengguna memulai ulang perangkat. Modifikasi ini, bagaimanapun, dilakukan setelah enkripsi dan permintaan tebusan telah diselesaikan.
JSWorm tersedia sebagai RaaS publik dari awal tahun 2019 hingga paruh pertama tahun 2020, dan telah diamati menyebar melalui kit eksploitasi RIG, botnet Trik, situs pembayaran palsu, dan kampanye spam. RaaS publik ditutup pada paruh pertama tahun 2020, dan operator beralih ke perburuan besar. Gangguan awal ditemukan berkat penggunaan aplikasi sisi server yang lemah (Citrix ADC) dan akses RDP yang tidak aman.
File dienkripsi dengan kunci 256-bit menggunakan modifikasi kustom dari kode sandi Blowfish. Kunci dihasilkan dengan menggabungkan nama pengguna string, alamat MAC sistem, dan nomor seri volume pada awal eksekusi program. Konten dari setiap file korban dienkripsi menggunakan versi kustom Blowfish. Enkripsi dibatasi hingga 100.000 byte, kemungkinan besar mempercepat enkripsi file besar. Data awal ditimpa oleh data terenkripsi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *