Muncul Varian Baru Malware Pengunci Windows
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Persebaran perangkat lunak berbahaya (malware) dengan memanfaatkan momen wabah Covid-19 masih terus berjalan. Terbaru, peneliti mendapati adanya varian baru malware MBRLocker yang dirilis bertema virus corona.
MBRLocker adalah program yang menggantikan “master boot record (MBR)” dari komputer, sehingga mencegah sistem operasi memulai (start). Selanjutnya, di layar komputer justru terpampang catatan tebusan atau pesan lain dari penyerang.
Yang termasuk dalam tipikal serangan MBRLocker, seperti ransomware Petya dan GoldenEye. Geng penjahat ini biasanya mengenkripsi tabel yang berisi informasi partisi hard disk milik korban. Enkripsi ini menyebabkan korban tidak bisa mengakses file hard disk juga mempartisi MBR tanpa memasukkan kode atau membayar uang tebusan.
Seperti dikutip dari BleepingComputer, Kamis (2 April 2020), peneliti MalwareHunterTeam menemukan penginstal untuk malware baru dengan nama "Coronavirus" didistribusikan sebagai file COVID-19.exe.
Ketika diinstal, malware akan mengekstraksi banyak file ke folder “%Temp%”, kemudian mengeksekusi file batch (berkas teks yang berisi beberapa seri perintah/command line yang dapat dijalankan Windows) bernama Coronavirus.bat.
File batch itu akan memindahkan file yang diekstraksi ke folder C:\COVID-19, mengonfigurasi berbagai program untuk memulai secara otomatis saat login, dan kemudian menyalakan ulang (restart) Windows.
File Coronavirus.bat.
Gambar virus corona yang muncul.
MBRLock lock screen.
Setelah Windows di-restart, gambar Coronavirus akan ditampilkan bersama dengan pesan yang menyatakan "coronavirus telah menginfeksi PC Anda!"
SonicWall dan Avast—keduanya perusahaan keamanan siber—juga melakukan analisis terhadap perilaku malware MBRLocker. Menurut penelitian mereka, program lain juga akan dieksekusi oleh malware sehingga membuat cadangan MBR drive ke lokasi lain, kemudian menggantinya dengan MBR kustom.
Saat reboot, MBR kustom akan menampilkan pesan yang menyatakan "Komputer Anda Telah Terganggu" dan Windows tidak akan bisa memulai (start).
Squidward/RedMist version. | Foto-foto: BleepingComputer
Untungnya, analisis Avast menunjukkan, ada cara menerobos (bypass) yang telah ditambahkan ke kode MBR kustom, sehingga memungkinkan pengguna mengembalikan MBR asli dan dapat boot secara normal. Ini dapat dilakukan dengan menekan tombol CTRL + ALT + ESC secara bersamaan.
Penelitian juga dilakukan BleepingComputer dan menemukan varian lain dari pengembang malware yang sama yang disebut 'RedMist'. Saat diinstal, alih-alih menampilkan gambar virus corona, gambar itu menunjukkan gambar “Squidward” yang menyatakan "Squidward sedang mengawasi Anda".
Namun, varian malware ini akan memperingatkan pengguna bahwa setelah booting ulang tidak akan dapat mengakses Windows lagi.[]
