GrandCrab Ransomware Pendahulu Ransomware yang menginfeksi semua orang tetapi tidak untuk Rusia!!

Pertempuran antara cybercriminal dan cybersecurity mengalami beberapa kali pasang surut. Produsen Malware menjadi sangat waspada terhadap sistem deteksi produk antimalware terbaru saat ini. dan GrandCrab merupakan salah satu perwakilan dari malware yang cukup diperhitungkan.

Pertama kali di temukan pada Januari 2018, Malware ini cukup ampuh dalam menjalankan skenario jahatnya. Cybercriminal secara konstan menambahkan fitur baru dalam menghindari mendeteksi serangan tersebut. Comodo Malware analysis menemukan bahwa enskriosi yang digunakan adalah Tiny Encryption Algorithm (TEA)

Mengalisa GrandCrab menjadi hal yang menarik, disini dapat dilihat bagaimana malware modern dapat menyesuaikan diri dengan iklim cybersecurity, yuk kita lihat lebih dalam tentang evolusi GrandCrab

Sejarah

GandCrab v1

Versi pertama GrandCrab ditemukan Januari 2018, file user yang ter-enskripsi dengan key unik dan meminta tebusan melalui crypto-currency. Versi ini didistribusi melalui exploit kit seperti RIG EK dan GrandSoft Ek. Ransomeware menkopikan dirinya ke folder “%appdata%\Microsoft”  dan dimasukan dalam sebuah system proccess  nslookup.exe.

GrandCrab membuat inisial koneksi ke pv4bot.whatismyipaddress.com untuk mencari IP Publik dari mesin yang terinfeksi dan kemudian menjalankan nslookup supaya terkoneksi ke jaringan gandcrab.bit a.dnspod.com menggunakan top level domain “bit”

Versi ini sangat cepat menyebar akan tetapi dapat di atasi pada akhir Februari.

GandCrab v2

Selang seminggu setelah itu, GrandCrab v2 menyerang kembali dengan algoritma enskripsi baru yang membuat decryptor kewalahan. File yang ter-enskripsi mempunya ekstensi *CRAB dan domain berubah menjadi ransomware.bit and zonealarm.bit. Versi ini tersebar melalui email spam pada bulan maret.

GandCrab v3

Versi ke 3 ini muncul di bulan april dengan kemapuan baru dengan mengubah wallpaper korban dengan catatan tebusan. dengan bumbu-bumbu baner yang berganti-ganti yang bertujuan memberikan tekanan psikologis korban. fitur tambahan yang lain adalah kemapuan untuk RunOnce Autorun pada registry key (regedit)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\whtsxydcvmtC:\Documents and Settings\Administrator\Application Data\Microsoft\yrtbsc.exe

GandCrab v4

Pada Versi ke 4 ini muncul pada bulan juli dengan beberapa update peningkatan, mencakup enkripsi algoritma baru. Seperti yang sudah Tim Comodo temukan, malware ini menggunakan Tiny Encryption Algorithm (TEA) untuk menghindari deteksi. dan semua file yang ter-enskripsi mempunyai ekstensi *KRAB yang sebelumnya *CRAB

Selebinya, Cybercriminal mengubah cara ransomware menyebar dan menginfeksi, pada saat ini disebarkan melalui situs crack software palsu dan begitu crack didownload dan dieksekusi maka ini awal dari sebuah bencana pada file kita. Berikut ini contoh aplikasi crak palsu Crack_Merging_Image_to_PDF.exe

Mari kita lihat metamofosisnya

Seperti yang sudah disebutkan sebelumnya bahwa GrandCrab menggunakan algoritma enskripsi TEA yang kuat dan cepat untuk menghindari deteksi

As mentioned above, the GandCrab ransomware uses strong and fast TEA encryption algorithm to avoid detection. Fungsi Decryption routine dapat dilihat di GandCrab plain file.


Setelah decryption selesai, File asli GrandCrab mulai menginfeksi dan menguasai system

Pertama-tama, Ransomeware akan mengecek daftar proses berikut denganCreateToolhelp32Snapshot API dan mematikan proses yang sedang berjalan

Kemudian ransomeware akan mengecek keyboard layout, Jika mereka menemukan layour Rusia maka proses akan dihentikan, Kenapa Rusia???

Generating URL Process

GrandCrab menggunakan algoritma acak untuk mengenerate URL pada masing-masing Host. Algoritma ini berdasarkan pola berikut

http://{host}/{value1}/{value2}/{filename}.{extension}

malware secara konsistem membuat semua elemen pada pola dan menghasilkan URL unik

URL unik berada pada kolom kanan

Mengumpulkan Informasi

GandCrab mengumpulkan informasi berikut pada mesin yang terinfekasi:

Kemudian Ia akan menegcek proses Antivirus yang berjalan

lalu mengumpulkan informasi tentang sistem, setelah itu mengenskripsi semua file dalam sistem dengan XOR dan mengirimkan ke server Comman-Control mereka. GrandCrab mengenkripsi menggunakan key “jopochlen” yang merujuk ke salah satu bahasa di Rusia. Kenapa Rusia???

Key Generation

ransomware membuat private dan public keys menggunaka Microsoft Cryptographic Provider dan API berikut:

Dan sebelum melakukan proses enskripsi, GrandCrab mengecek beberapa file berikut

dan folders yang di lewati (dikecualikan) selama proses enskripsi

dan hasil file yang terenskripsi

Ketika enskripsi selesai, GandCrab membuka KRAB-DECRYPT.txt yang merupakan file tentang tebusan:


Menurut peneliti Comodo cybersecurity yang telah melacak GandCrab communication IP. Berikut 10 besar daftar IP

Dan statistik berdasarkan negara

Nah setelah GrandCrab akankah muncul varian yang lain, Misal *rumba ?

Referensi : https://blog.comodo.com/

Leave a Reply

Your email address will not be published. Required fields are marked *