Apa itu ransomware DEMON ?
Ransomware DEMON ditemukan oleh GrujaRS . Perangkat lunak berbahaya ini mengenkripsi file, mengganti namanya, membuat pesan tebusan dan menampilkan yang lain di jendela pop-up. DEMON mengganti nama file terenkripsi dengan menambahkan ekstensi " .DEMON " ke nama file.
Misalnya, " berkas.pdf " diubah namanya menjadi " berkas.pdf.DEMON " dan seterusnya. Virus tersebut juga melampirkan file teks " README.txt " (berisi pesan tebusan) di semua folder yang berisi file terenkripsi.
Pesan tebusan (file teks dan jendela pop-up) menyatakan bahwa DEMON mengenkripsi semua data, dan satu-satunya cara untuk memulihkannya adalah dengan membayar uang tebusan. Korban harus membayar $10.000 dalam bentuk Bitcoin dengan mentransfer cryptocurrency ke alamat dompet BTC yang disediakan.
Disebutkan pula bahwa jika transaksi tidak dilakukan dalam waktu 600 menit (10 jam), semua data korban akan dimusnahkan dan/atau dijual kepada pihak ketiga. Untuk lebih jelasnya, para korban dihimbau untuk menghubungi para penjahat siber ini dengan mengirimkan email ke blackingdom@gszmail.com.
Biasanya, program jenis ransomware mengenkripsi file dengan algoritme enkripsi yang kuat, dan tidak mungkin memulihkannya tanpa alat dekripsi yang benar. Sayangnya, dalam banyak kasus, satu-satunya orang yang memiliki alat ini adalah penjahat cyber yang merancang ransomware.
Meskipun demikian, jangan pernah mempercayai mereka atau membayar uang tebusan. Korban yang membayar sering ditipu, mereka tidak menerima alat atau kunci dekripsi. Oleh karena itu, pengembang DEMON tidak boleh dipercaya. Dalam kasus seperti itu, satu-satunya cara untuk memulihkan file tanpa harus menggunakan alat yang dibeli dari penjahat cyber adalah dengan memulihkannya dari cadangan.
Perhatikan bahwa file tetap dienkripsi bahkan setelah penghapusan ransomware. Penghapusan dari sistem operasi hanya mencegahnya menyebabkan enkripsi lebih lanjut.
Tangkapan layar dari pesan yang mendorong pengguna untuk membayar uang tebusan untuk mendekripsi data mereka yang disusupi:
Umumnya, perangkat lunak jenis ini mengenkripsi data dan membuatnya tidak dapat diakses kecuali korban membeli alat/kunci dari penjahat cyber yang merancang ransomware. Variabel utama adalah biaya alat dekripsi dan algoritma kriptografi ( simetris atau asimetris ) yang digunakan ransomware untuk mengunci data.
Beberapa contoh ransomware lain termasuk Tim Baraka , Tsar dan Happychoose . Biasanya, tidak mungkin untuk mendekripsi file tanpa alat khusus yang hanya dimiliki oleh penjahat cyber, kecuali (dalam kasus yang jarang terjadi) ransomware berisi bug/cacat atau masih dalam pengembangan.
Oleh karena itu, pertahankan cadangan di server jauh (seperti Cloud) dan/atau perangkat penyimpanan yang tidak terhubung.
Kronologi ransomware menginfeksi komputer
Dalam kebanyakan kasus,
komputer terinfeksi ransomware dan perangkat lunak berbahaya lainnya melalui
spam campaign, pembaru perangkat lunak palsu, sumber unduhan file dan/atau perangkat lunak yang tidak tepercaya, alat aktivasi perangkat lunak tidak resmi, dan Trojan.
Penjahat dunia maya mencoba mengelabui orang agar memasang malware melalui file berbahaya yang mereka lampirkan ke email mereka. Mereka mengirim email yang disamarkan sebagai penting dan resmi, dan berharap penerima membuka file terlampir, atau file yang diunduh melalui tautan situs web yang disertakan.
Contoh file yang biasanya mereka lampirkan adalah dokumen Microsoft Office, dokumen PDF, file arsip seperti ZIP, RAR, file executable (.exe) dan file JavaScript. Pembaru perangkat lunak palsu dapat menginfeksi sistem dengan mengeksploitasi bug/cacat perangkat lunak usang, atau hanya dengan menginstal malware daripada pembaruan.
Sumber pengunduhan/pemasangan perangkat lunak yang tidak tepercaya seperti jaringan Peer-to-Peer (misalnya eMule, klien torrent), halaman hosting file gratis, downloader pihak ketiga, installer, website download aplikasi gratis sering digunakan oleh penjahat cyber untuk mendistribusikan dan menghosting file berbahaya.
Dengan membuka file yang diunduh melalui saluran tersebut, banyak pengguna berisiko memasang malware. Alat aktivasi ('cracking') perangkat lunak tidak resmi digunakan oleh beberapa orang untuk mem-bypass aktivasi perangkat lunak berlisensi, namun, ini dapat menyebabkan pemasangan malware daripada mengaktifkan perangkat lunak yang diinstal secara gratis.
Trojan adalah program jahat yang sering menyebabkan infeksi berantai. Jika diinstal, mereka berkembang biak dan menginstal perangkat lunak berbahaya lainnya, termasuk ransomware.
| Nama |
Virus Demon |
| Jenis Ancaman |
Ransomware, Crypto Virus, File locker |
| Ekstensi File Terenkripsi |
.DEMON |
| Pesan Permintaan Tebusan |
Jendela pop-up dan file README.txt |
| Jumlah tebusan |
$10.000 dalam Bitcoin |
| Alamat Dompet BTC |
3MdnThXfyPfjCVihXkbR3i15m4BFN3Rhi7 |
| Kontak Kriminal Cyber |
blackingdom@gszmail.com |
| Nama Deteksi |
Alibaba (Trojan:Win32/Generic.da5e90fa), DrWeb (Python.Encoder.8), ESET-NOD32 (Python/Filecoder.DL), Kaspersky (HEUR:Trojan.Win32.Generic), Daftar Lengkap Deteksi ( VirusTotal ) |
| Nama Proses Rogue |
payload.txt.bin.exe (namanya mungkin berbeda) |
| Dampak |
Tidak dapat membuka file yang disimpan di komputer Anda, file yang sebelumnya berfungsi sekarang memiliki ekstensi yang berbeda (misalnya, my.docx.locked). Pesan permintaan tebusan ditampilkan di desktop Anda. Penjahat dunia maya menuntut pembayaran uang tebusan (biasanya dalam bitcoin) untuk membuka kunci file Anda. |
| Metode distribusi |
Lampiran email yang terinfeksi (makro), situs web torrent, iklan berbahaya. |
| Kerusakan |
Semua file dienkripsi dan tidak dapat dibuka tanpa membayar uang tebusan. Trojan pencuri kata sandi dan infeksi malware tambahan dapat diinstal bersama dengan infeksi ransomware. |
| Penghapusan Malware (Windows) |
Untuk menghilangkan kemungkinan infeksi malware, pindai komputer Anda dengan perangkat lunak antivirus yang sah bukan bajakan. Jika memungkinan segera instal ulang dan babat hardisk. |
Tips Agar Terhindar Dari Infeksi Ransomware .DEMON
Jangan pernah membuka file atau tautan situs web dalam email yang tidak relevan, terutama jika pesan dikirim dari alamat yang tidak dikenal dan mencurigakan. Perangkat lunak harus diunduh hanya dari situs web resmi dan melalui tautan langsung.
Semua sumber lain (yang disebutkan di atas) tidak dapat dipercaya, karena sering digunakan untuk mendistribusikan perangkat lunak berbahaya. Perangkat lunak yang diinstal harus diperbarui dengan alat atau fungsi yang diimplementasikan yang dirancang oleh pengembang perangkat lunak resmi, dan bukan pembaru pihak ketiga lainnya. Hal yang sama berlaku untuk aktivasi perangkat lunak.
Selain itu, adalah ilegal untuk mengaktifkan program dengan alat 'cracking' (aktivasi tidak resmi). Pasang perangkat lunak antivirus atau anti-spyware terkemuka, tetap perbarui, dan pindai sistem operasi dari ancaman secara teratur.
Jika komputer Anda sudah terinfeksi DEMON, sebaiknya jalankan pemindaian dengan ESET Antivirus untuk Windows untuk menghilangkan ransomware ini secara otomatis.
Selain itu cobalah untuk mencari deskriptor secara online dari forum-forum virus terkenal. Jika tidak memungkinkan, jalan terakhir mau tidak mau harus instal ulang bersih. Saya sarankan untuk selalu backup file-file penting di media penyimpanan eksternal atau layanan cloud storage seperti mediafire, one drive, google drive dan lain-lain.
