Operator penipuan ransomware Locky tampaknya sedang melatih keterampilan pemerasan mereka dalam beberapa cara. Mereka memasukkan virus ke dalam komputer menggunakan teknik yang serupa dengan cara penyebaran Trojan perbankan Dridex. Virus ini mengubah nama file dan melakukan enkripsi pada file tersebut, sehingga memperparah pemulihan. Dan tentu saja memerlukan biaya untuk mengakses data korban kembali.
Infeksi yang mengubah file seseorang menjadi objek yang disandikan dengan ekstensi .locky adalah salah satu keturunan terbaru penularan berbahaya ini. Contoh ini sangat mencolok karena sang virus bergantung pada macro berbahaya dalam dokumen Microsoft Office untuk mengeksekusi kode jahat, dibandingkan dengan virus lainnya yang menyerang dengan paket eksploit atau file ZIP ekstraksi langsung. Dan juga, ransomware Locky bercampur dengan data yang tersimpan di jaringan berbagi yang belum dipetakan, yang merupakan sifat unik yang belum pernah terlihat sebelumnya dalam virus yang mengenkripsi file.
Setelah melanggar masuk, infeksi .locky mencari lebih dari 100 format file pada hard drive, drive jaringan (jika ada), dan media removable. Sementara itu, .locky mengabaikan beberapa direktori tingkat sistem, termasuk Windows, AppData, Program Files, dan temp. Kemudian, item yang cocok dengan ekstensi hardcode dienkripsi dengan AES cipher. Tampilan file yang dikodekan berubah drastis: nama masing-masing akan diganti dengan susunan angka dan karakter panjang dengan string .locky yang ditambahkan di akhir nama file. Untuk berkomunikasi dengan korban, ransomware menggantikan wallpaper desktop dengan file gambar BMP, yang pada dasarnya adalah urutan langkah-langkah untuk membayar tebusan sebesar 0,5 Bitcoins. Informasi yang sama juga tersedia dalam dokumen Notepad berjudul _Locky_recover_instructions.txt yang ada di dalam setiap folder data sasaran yang telah dibajak.
Dengan menuju ke salah satu link berbasis The Onion Router yang ada dalam petunjuk tebusan, korban akan berakhir di laman Locky Decrypter. Link tersebut memberi saran perihal bayar-membayar pada orang yang terinfeksi atas kesepakatan yang dikenakan. Secara khusus, pengguna diminta untuk mengirimkan sejumlah BTC yang ditentukan berjumlah sekitar 200 USD untuk menebus file pribadinya. Menurut rinciannya, pembayaran adalah prasyarat untuk bisa mengunduh decodernya.
Locky menyebar melalui file Microsoft Word yang tertaut dalam email yang salah. Pesan ini menyamar sebagai faktur, dengan nama subjek dan dokumen yang berubah menjadi “ATTN: Faktur J- (8 digit)”. Ketika pengguna membukanya, teks yang terlihat sebagian besar tidak dapat dimengerti dan berisi rekomendasi untuk mengaktifkan makro jika pengkodean data tidak benar. Begitu mengklik tombol Options di sebelah peringatan keamanan, macro akan terunduh dan menjalankan ransomware. Sebenarnya, ada alasan mengapa macro dinonaktifkan di pengaturan awal – komponen ini mudah dieksploitasi untuk menyuntikkan kode berbahaya. Jadi pastikan untuk tidak mengaktifkannya hanya karena Anda diminta melakukannya oleh lampiran email.
Hi! I am a robot. I just upvoted you! I found similar content that readers might be interested in:
http://soft2secure.co.id/pengetahuan/file-virus-locky