Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer

Sampel malware baru mengonfirmasi bahwa REvil telah kembali

by

Operasi ransomware REvil yang terkenal telah kembali di tengah meningkatnya ketegangan antara Rusia dan AS, dengan infrastruktur baru dan encryptor yang dimodifikasi memungkinkan serangan yang lebih bertarget.

Pada bulan Oktober, geng ransomware REvil ditutup setelah operasi penegakan hukum membajak server Tor mereka, diikuti oleh penangkapan salah satu anggota oleh penegak hukum Rusia.

Namun, setelah invasi ke Ukraina, Rusia menyatakan bahwa AS telah menarik diri dari proses negosiasi mengenai geng REvil dan menutup saluran komunikasi.

Segera setelah itu, infrastruktur REvil Tor yang lama mulai beroperasi kembali, tetapi alih-alih menampilkan situs web lama, mereka mengarahkan pengunjung ke URL untuk operasi ransomware baru yang tidak disebutkan namanya.

Sementara situs-situs ini tidak terlihat seperti situs web REvil sebelumnya, fakta bahwa infrastruktur lama dialihkan ke situs baru menunjukkan bahwa REvil kemungkinan akan beroperasi kembali.

Satu-satunya cara untuk mengetahui dengan pasti apakah REvil telah kembali adalah dengan menemukan contoh enkripsi ransomware dan menganalisisnya.

Sebuah sampel dari enkripsi operasi ransomware baru akhirnya ditemukan minggu ini oleh penelitian AVAST Jakub Kroustek dan telah mengkonfirmasi hubungan operasi baru dengan grup REvil.

BleepingComputer telah diberitahu oleh beberapa peneliti keamanan dan analis malware bahwa sampel REvil yang ditemukan yang digunakan oleh operasi baru dikompilasi dari kode sumber dan mencakup perubahan baru.

BleepingComputer juga menguji sampel ransomware, dan meskipun tidak mengenkripsi, sampel tersebut membuat catatan tebusan, yang identik dengan catatan tebusan lama REvil.

Tidak mengherankan bahwa REvil telah berganti nama di bawah operasi baru, terutama dengan menurunnya hubungan antara AS dan Rusia.

Selengkapnya: Bleeping Computer

Ukraina ditargetkan oleh serangan DDoS dari situs WordPress yang disusupi

by

Tim tanggap darurat komputer Ukraina (CERT-UA) telah menerbitkan peringatan pengumuman serangan DDoS (distributed denial of service) yang sedang berlangsung yang menargetkan situs pro-Ukraina dan portal web pemerintah.

Pelaku ancaman, yang saat ini masih belum diketahui, mengkompromikan situs WordPress dan menyuntikkan kode JavaScript berbahaya untuk melakukan serangan.

Skrip ini ditempatkan dalam struktur HTML dari file utama situs web dan dikodekan base64 untuk menghindari deteksi.

Kode berjalan di komputer pengunjung situs web dan mengarahkan sumber daya komputasi yang tersedia untuk menghasilkan jumlah permintaan yang tidak normal untuk menyerang objek (URL) yang ditentukan dalam kode.

Detail tentang kode JS berbahaya (CERT-UA)

Hasilnya adalah beberapa situs web target kewalahan oleh permintaan dan, akibatnya, tidak dapat diakses oleh pengunjung reguler mereka.

Ini semua terjadi tanpa pemilik atau pengunjung situs yang disusupi pernah menyadarinya, kecuali mungkin beberapa cegukan kinerja yang hampir tidak terlihat untuk yang terakhir.

Beberapa situs yang ditargetkan adalah: Selengkapnya

Pada bulan Maret, kampanye DDoS serupa dilakukan menggunakan skrip yang sama tetapi terhadap situs web pro-Ukraina yang lebih kecil, serta terhadap target Rusia.

CERT-UA bekerja sama dengan Bank Nasional Ukraina untuk menerapkan langkah-langkah defensif terhadap kampanye DDoS ini.

Agensi telah memberi tahu pemilik, pendaftar, dan penyedia layanan hosting situs web yang disusupi tentang situasi tersebut dan telah memberikan instruksi tentang cara mendeteksi dan menghapus JavaScript berbahaya dari situs mereka.

Tanda kompromi dalam log (CERT-UA)

Saat ini, setidaknya 36 situs web yang dikonfirmasi menyalurkan permintaan sampah berbahaya ke URL target, tetapi daftar ini dapat berubah atau diperbarui kapan saja.

Untuk alasan ini, CERT-UA telah menyertakan alat pendeteksi dalam laporan untuk membantu semua administrator situs web memindai situs mereka sekarang dan di masa mendatang.

Selain itu, penting untuk selalu memperbarui sistem manajemen konten (CMS) situs Anda, menggunakan versi terbaru yang tersedia dari semua plugin aktif, dan membatasi akses ke halaman manajemen situs web.

Sumber: Bleeping Computer

Malware Bumblebee baru menggantikan Conti’s BazarLoader dalam serangan siber

by

Pemuat malware yang baru ditemukan bernama Bumblebee kemungkinan merupakan pengembangan terbaru dari sindikat Conti, yang dirancang untuk menggantikan pintu belakang BazarLoader yang digunakan untuk mengirimkan muatan ransomware.

Munculnya Bumblebee dalam kampanye phishing pada bulan Maret bertepatan dengan penurunan penggunaan BazarLoader untuk mengirimkan malware enkripsi file, kata para peneliti.

BazarLoader adalah karya pengembang botnet TrickBot, yang menyediakan akses ke jaringan korban untuk serangan ransomware. Geng TrickBot sekarang bekerja untuk sindikat Conti.

Dalam sebuah laporan pada bulan Maret tentang aktor ancaman yang dilacak sebagai ‘Exotic Lily’ yang menyediakan akses awal untuk operasi ransomware Conti dan Diavol, Grup Analisis Ancaman Google mengatakan bahwa aktor tersebut mulai menjatuhkan Bumblebee, alih-alih malware BazarLoader biasa, untuk mengirimkan Cobalt Strike .

Eli Salem, pemimpin ancaman hunter dan malware reverse engineer di Cybereason mengatakan bahwa teknik penyebaran untuk Bumblebee sama seperti untuk BazarLoader dan IcedID, keduanya terlihat di masa lalu menyebarkan Conti ransomware.

Proofpoint mengkonfirmasi temuan Salem, dengan mengatakan bahwa mereka telah mengamati kampanye phishing di mana “Bumblebee [telah] digunakan oleh beberapa aktor ancaman crimeware yang sebelumnya diamati mengirimkan BazaLoader dan IcedID.”

Perusahaan juga mencatat bahwa “beberapa pelaku ancaman yang biasanya menggunakan BazaLoader dalam kampanye malware telah beralih ke Bumblebee” untuk menghapus shellcode dan kerangka kerja Cobalt Strike, Sliver, dan Meterpreter yang dirancang untuk penilaian keamanan tim merah.

Pada saat yang sama, BazaLoader telah hilang dari data Proofpoint sejak Februari.

Dalam sebuah laporan hari ini, Proofpoint mengatakan bahwa mereka mengamati beberapa kampanye email yang mendistribusikan Bumblebee dalam lampiran ISO yang berisi file pintasan dan DLL.

Satu kampanye memanfaatkan umpan dokumen DocuSign yang mengarah ke arsip ZIP dengan wadah ISO berbahaya yang dihosting di layanan penyimpanan cloud OneDrive Microsoft.

Para peneliti mengatakan bahwa email berbahaya itu juga menyertakan lampiran HTML yang muncul sebagai email ke faktur yang belum dibayar, kata Proofpoint.

URL yang disematkan dalam file HTML menggunakan layanan pengalihan yang mengandalkan Prometheus TDS (layanan distribusi lalu lintas) yang memfilter unduhan berdasarkan zona waktu dan cookie korban. Tujuan akhir juga adalah ISO berbahaya yang dihosting di OneDrive.

Pada bulan Maret, Proofpoint mengamati kampanye yang mengirimkan Bumblebee melalui formulir kontak di situs web target. Pesan tersebut mengklaim bahwa situs web menggunakan gambar curian dan menyertakan tautan yang pada akhirnya mengirimkan file ISO yang berisi malware.

Proofpoint mengaitkan kampanye ini dengan aktor ancaman lain yang dilacak perusahaan sebagai TA578 sejak Mei 2020 dan menggunakan kampanye email untuk mengirimkan malware seperti Ursnif, IcedID, KPOT Stealer, Buer Loader, dan BazaLoader, serta Cobalt Strike.

Para peneliti mendeteksi kampanye lain pada bulan April yang membajak utas email untuk mengirimkan pemuat malware Bumblebee sebagai balasan ke target dengan lampiran ISO yang diarsipkan.

Sumber: Proofpoint

Meskipun belum menemukan bukti yang tidak dapat disangkal, Proofpoint percaya bahwa pelaku ancaman yang menggunakan Bumblebee adalah pialang akses jaringan awal yang bekerja dengan pelaku ransomware.

Para peneliti setuju bahwa Bumblebee adalah “pemuat malware baru yang sangat canggih” yang mengintegrasikan teknik penghindaran yang rumit dan trik anti-analisis yang mencakup metode anti-virtualisasi yang kompleks.

Dalam analisis teknis pada hari Kamis, Eli Salem menunjukkan bahwa penulis Bumblebee menggunakan seluruh kode anti-analisis dari aplikasi ‘malware’ PoC al-khaser yang tersedia untuk umum.

Pemeriksaan kode Salem mengungkapkan bahwa malware mencari beberapa alat untuk analisis dinamis dan statis, mencoba mendeteksi “setiap jenis lingkungan virtualisasi” dengan mencari prosesnya, dan dengan memeriksa kunci registri dan jalur file.

Peneliti mencatat bahwa salah satu hal paling menarik yang dia temukan di komponen pemuat inti Bumblebee adalah adanya dua file DLL 32/64-bit yang disebut RapportGP.dll, nama yang digunakan oleh perangkat lunak keamanan Trusteer’s Rapport untuk melindungi data sensitif seperti kredensial.

Peneliti malware di perusahaan keamanan siber Proofpoint dan Cybereason menganalisis Bumblebee dan melihat kesamaan dengan malware TrickBot dalam kode, metode pengiriman, dan muatan yang dijatuhkan.

Salem membuat koneksi antara Bumblebee ke TrickBot setelah melihat bahwa kedua malware bergantung pada mekanisme instalasi yang sama untuk hook.

sumber: Eli Salem

Kesamaannya bahkan lebih jauh, karena Bumblebee menggunakan teknik penghindaran yang sama untuk RapportGP.DLL seperti TrickBot untuk modul web-inject-nya.

Selain itu, kedua malware mencoba menggunakan LoadLibrary dan mendapatkan alamat dari fungsi yang ingin mereka kaitkan, peneliti menemukan.

Salem mengatakan bahwa meskipun tidak ada cukup bukti untuk mengatakan bahwa Bumblebee dan TrickBot memiliki penulis yang sama, masuk akal untuk mengasumsikan bahwa pengembang Bumblebee memiliki kode sumber untuk modul web-inject TrickBot.

Sumber: Bleeping Computer

EmoCheck sekarang mendeteksi versi 64-bit baru dari malware Emotet

by

Japan CERT telah merilis versi baru dari utilitas EmoCheck mereka untuk mendeteksi versi 64-bit baru dari malware Emotet yang mulai menginfeksi pengguna bulan ini.

Emotet adalah salah satu malware terdistribusi paling aktif yang menyebar melalui email menggunakan email phishing dengan lampiran berbahaya, termasuk dokumen Word/Excel, pintasan Windows, file ISO, dan file zip yang dilindungi kata sandi.

Email phishing menggunakan umpan kreatif untuk mengelabui pengguna agar membuka lampiran, termasuk email berantai balasan, pemberitahuan pengiriman, dokumen pajak, laporan akuntansi, atau bahkan undangan pesta liburan.

Undangan pesta liburan palsu memasang Emotet

Setelah perangkat terinfeksi, Emotet akan mencuri email pengguna untuk digunakan dalam serangan phishing berantai balasan di masa mendatang dan mengunduh muatan malware lebih lanjut di komputer.

Karena malware lebih lanjut biasanya mengarah ke pencurian data dan serangan ransomware, sangat penting untuk mendeteksi infeksi malware Emotet dengan cepat sebelum kerusakan lebih lanjut terjadi.

Pada tahun 2020, CERT Jepang (tim tanggap darurat komputer) merilis alat gratis bernama EmoCheck untuk memindai komputer dari infeksi Emotet.

Jika salah satu terdeteksi, maka akan ditampilkan path lengkap infeksi malware tersebut sehingga bisa dihapus.

Namun, awal bulan ini, geng Emotet beralih ke loader dan pencuri versi 64-bit, membuat deteksi yang ada menjadi kurang berguna. Selanjutnya, dengan sakelar ini, alat EmoCheck tidak lagi dapat mendeteksi versi Emotet 64-bit yang baru.

EmoCheck mendeteksi infeksi malware Emotet

Untuk memeriksa apakah Anda terinfeksi Emotet, Anda dapat mengunduh utilitas EmoCheck dari repositori GitHub CERT Jepang.

Setelah diunduh, klik dua kali pada emocheck_x64.exe (versi 64-bit) atau emocheck_x86.exe (versi 32-bit), tergantung pada apa yang Anda unduh.

EmoCheck akan memindai Emotet Trojan, dan jika malware terdeteksi, tampilkan ID proses yang dijalankannya di bawah dan lokasi DLL malware.

Emotet saat ini sedang diinstal di folder acak di bawah C:\Users\[nama pengguna]\AppData\Local. Meskipun malware Emotet adalah DLL, ia tidak akan memiliki ekstensi DLL melainkan ekstensi tiga huruf acak, seperti .bbo atau .qvp.

Emotet dipasang di bawah %LocalAppData%

EmoCheck juga akan membuat log di folder yang sama dengan program yang berisi informasi yang terdeteksi, sehingga Anda dapat merujuknya sesuai kebutuhan.

Jika Anda menjalankan EmoCheck dan menemukan bahwa Anda terinfeksi, Anda harus segera membuka Task Manager dan menghentikan proses yang terdaftar, biasanya regsvr32.exe.

Anda kemudian harus memindai komputer Anda dengan perangkat lunak antivirus tepercaya untuk memastikan malware lain belum diinstal pada perangkat Anda.

Sumber: Bleeping Computer

Perusahaan perangkat lunak medis didenda €1,5 juta karena membocorkan data 490 ribu pasien

by

Otoritas perlindungan data Prancis (CNIL) mendenda vendor perangkat lunak medis Dedalus Biology dengan EUR 1,5 juta karena melanggar tiga pasal GDPR (Peraturan Perlindungan Data Umum).

Dedalus Biology memberikan layanan kepada ribuan laboratorium medis di negara ini dan denda adalah untuk mengekspos rincian sensitif dari 491.939 pasien dari 28 laboratorium.

Basis data bocor secara online dan mengungkapkan detail pasien berikut:

  • Nama lengkap
  • Nomor KTP
  • Nama dokter yang meresepkan
  • Tanggal pemeriksaan
  • Informasi medis seperti status HIV, kanker, penyakit genetik, kehamilan, perawatan, dll.
  • Informasi genetik (dalam beberapa kasus)

Informasi ini telah dibagikan secara luas di internet, sehingga klien Dedalus Biology menghadapi risiko rekayasa sosial, phishing, scammed, dan bahkan pemerasan.

Tanda-tanda pertama kebocoran database muncul sejak Maret 2020, dengan ANSSI mengeluarkan peringatan terkait ke salah satu laboratorium yang terpapar pada November 2020.

Pada Februari 2021, majalah Prancis ZATAZ menemukan penjualan kumpulan data tertentu di web gelap dan mengonfirmasi bahwa informasi itu valid.

Data bocor yang dijual di web gelap (ZATAZ)

Dedalus Biology melanggar pasal 29 undang-undang GDPR, yaitu kegagalan untuk mematuhi instruksi pengontrol. Lebih khusus lagi, selama migrasi dari perangkat lunak vendor yang berbeda, atas permintaan dua laboratorium medis, Dedalus mengekstrak lebih banyak informasi daripada yang dibutuhkan.

Pelanggaran kedua menyangkut pasal 32 GDPR, yang membuat pemroses data bertanggung jawab atas kegagalan mengamankan informasi.

Pasal ketiga GDPR yang dilanggar adalah nomor 28, yang mencakup kewajiban untuk memberikan kontrak formal atau tindakan hukum untuk pemrosesan data atas nama pengontrol (laboratorium).

Untuk pelanggaran di atas, CNIL memutuskan untuk mengenakan denda sebesar 1,5 juta Euro ($ 1,58 juta), dihitung sebagai 10% dari pendapatan tahunan perusahaan.

Meskipun Dedalus berharap untuk menerima hukuman yang lebih ringan berdasarkan kesediaannya untuk berkolaborasi dengan penyelidik CNIL, kantor perlindungan data mencatat bahwa perusahaan tidak mengambil langkah untuk membatasi penyebaran data yang bocor secara online, sehingga tidak ada dasar untuk mengenali faktor-faktor yang meringankan.

Sumber: Bleeping Computer

PSA: Onyx ransomware menghancurkan file besar alih-alih mengenkripsinya

by

Operasi ransomware Onyx baru menghancurkan file besar alih-alih mengenkripsinya, mencegah file tersebut didekripsi bahkan jika uang tebusan dibayarkan.

Pekan lalu, peneliti keamanan MalwareHunterTeam menemukan bahwa operasi ransomware baru telah diluncurkan bernama Onyx.

Seperti kebanyakan operasi ransomware saat ini, pelaku ancaman Onyx mencuri data dari jaringan sebelum mengenkripsi perangkat. Data ini kemudian digunakan dalam skema pemerasan ganda di mana mereka mengancam akan merilis data tersebut ke publik jika uang tebusan tidak dibayarkan.

Situs kebocoran data ransomware Onyx

Geng ransomware telah cukup berhasil sejauh ini, dengan enam korban terdaftar di halaman kebocoran data mereka.

Namun, fungsionalitas teknis ransomware tidak diketahui hingga hari ini, ketika MalwareHunterTeam menemukan sampel penyandi.

Apa yang ditemukan mengkhawatirkan, karena ransomware menimpa file besar dengan data sampah acak daripada mengenkripsinya.

Seperti yang Anda lihat dari kode sumber di bawah, Onyx mengenkripsi file yang berukuran lebih kecil dari 200MB. Namun, menurut MalwareHunterteam, Onyx akan menimpa file apa pun yang lebih besar dari 200MB dengan data acak.

Kode sumber ransomware Onyx

Karena ini hanya data yang dibuat secara acak dan tidak dienkripsi, tidak ada cara untuk mendekripsi file yang berukuran lebih dari 200MB.

Bahkan jika korban membayar, decryptor hanya dapat memulihkan file terenkripsi yang lebih kecil.

Berdasarkan kode sumber, sifat destruktif dari rutin enkripsi lebih disengaja daripada bug. Oleh karena itu, disarankan agar korban menghindari membayar uang tebusan.

Sumber: Bleeping Computer