Ransomware Dharma Targetkan Pengguna Windows Lewat Email

Tenri Gobel
 Rabu, 19 Februari 2020 - 16:05 WIB   1472

Dharma Ransomware

Cyberthreat.id - Kampanye spam terbaru menggunakan Dharma Ransomware sedang menargetkan pengguna Windows di Italia.

Dharma Ransomware telah aktif berkembang sejak 2016 dan dikembangkan dari keluarga ransomware lain yang disebut CrySis. Biasanya, ransomware ini disusupkan ke komputer yang diretas dari jarak jauh. Namun, temuan terbaru menyebutkan ransomware Dharma disusupkan lewat malspam atau kampanye spam yang menginfeksi pengguna dengan keylogger Ursniff (trojan perbankan).

Temuan itu disampaikan oleh peneliti keamanan dari JAMeSWT, TG Soft, dan reccDeep secara terpisah pada Selasa (18 Februari 2020). 

E-mail spam yang ditemukan oleh peneliti keamanan menggunakan bahasa Italia dengan subjek e-mail 'Fattura n. 637 del 14.01.20'. Isinya mirip faktur pembayaran.

Dalam pengantar email, si pengirim menyebutkan ada lampiran faktur pembayaran yang perlu dilihat oleh penerima email. Namun, ketika lampiran email itu diklik, akan membawa si penerima email ke halaman OneDrive yang menyimpan file yang disebut 'New documento 2.zip'. File ini akan diunduh secara otomatis ketika pengguna mengunjungi halaman itu.

Di dalam file zip tersebut terdapat dua file yaitu skrip VBS yang diberi nama 'Nuovo documento 2.vbs' dan file gambar aneh yang dinamai 'yuy7z.jpg' yang menampilkan catatan Domain Name System [DNS] untuk domain tuconcordancia.com.

Jika pengguna menjalankan 'Nuovo documento 2.vbs', muatan malware yang berbeda terlihat sedang diunduh.

Melansir dari BleepingComputer, sebelumnya pada hari itu, TG Soft melihat trojan mencuri data Ursniff diunduh oleh skrip VB dan sejak awal pagi (18 Februari 2020) ia beralih untuk menginstal Dharma Ransomware.

Versi Dharma Ransomware yang diunduh adalah menambahkan ekstensi .ROGER ke file yang dienkripsi dan menampilkan catatan tebusan yang memberi tahu korban untuk mengubungi sjen6293@gmail.com untuk informasi pembayaran.

Sayangnya, tidak ada cara untuk mendeskripsi file yang dienkripsi oleh Dharma Ransomware kecuali Anda memiliki kunci privat master yang hanya diketahui oleh operator ransomware.

Jika Anda terinfeksi oleh tebusan ini, satu-satunya cara untuk memulihkan file Anda adalah melalui cadangan atau dengan membayar tebusan.[]

Editor: Yuswardi A. Suud

Tags