Ransomware Rumba Mengincar Penikmat Software Bajakan! - Maxteroit

-------------------------------- ALL YOUR FILES ARE ENCRYPTED -------------------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://files.danwin1210.me/uploads/01-2019/Decrypt%20Software%20Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
-----------------------------------------------------------------------------------------------------------

To get this software you need write on our e-mail:
[email protected]
Reserve e-mail address to contact us:
[email protected]

Pesan di atas adalah sebuah pesan yang tercipta pada PC yang terkena Ransomware Rumba. Virus Rumba hanyalah versi baru dari ancaman lain, namun, tidak ada perbedaan besar dalam virus itu sendiri, kecuali untuk nama, ekstensi tambahan dan catatan tebusan yang sedikit disesuaikan '_openme.txt', yang memberikan penjelasan terperinci. pada apa yang diharapkan penjahat dari pengguna, ketika sistem mereka dikompromikan. Tetapi bahkan sebelum Anda melihat fitur-fitur ini, ransomware melakukan banyak proses latar belakang sebelum menghadirkannya sendiri.

Diyakini bahwa virus Rumba saat ini sebagian besar menyebar melalui berbagai eksploitasi perangkat lunak dan alat KMSpico, yang merupakan aktivator Windows ilegal, yang para peretas suka gunakan sebagai umpan untuk menyebarkan malware mereka. Setelah pengguna membuka atau menginstal program yang terinfeksi, rumba ransomware juga akan diinisiasi dan mulai melakukan operasi jahat. Itu memodifikasi kunci registri Windows untuk tetap gigih dan mendapatkan otorisasi, mem-bypass perlindungan antivirus, menulis sendiri ke berbagai folder sistem untuk muncul kembali setelah komputer dimatikan dan dinyalakan, mencari file yang cocok untuk Enkripsi dan lain-lain. Proses ini tidak memakan waktu lama dan biasanya tidak terlalu mencolok. Korban hanya bisa melihat konsekuensinya.

Ketika virus Rumba melihat semua data yang ingin dienkripsi, ia menggunakan Cipher untuk mengunci mereka, jadi hanya mereka yang memiliki kode dekripsi yang dapat mengaksesnya, yang tentu saja hanya pengembang .rumba sendiri. Ini memungkinkan mereka untuk meminta uang tebusan tetapi untuk memberi tahu para korban mengapa komputer mereka terinfeksi Rumba ransomware menjatuhkan catatan teks tebusan di layar dan menambahkan string .rumba ke setiap nama file yang terpengaruh ('pictureofdog.jpg' akhirnya menjadi ' pictureofdog.jpg.rumba '). Ini hanya teknik Scareware, yang mencoba mendorong pengguna untuk membayar, seperti isi catatan tebusan, mengatakan bahwa Anda harus melakukannya dalam 72 jam, bahwa tidak ada pilihan lain dan lain-lain. Tetapi Anda harus mengerti, bahwa penjahat tidak bisa dipercayai apa pun yang mereka katakan, dan ini adalah situasi yang sangat umum ketika korban membayar tetapi tidak mendapatkan kembali decrypter yang dijanjikan.

Pembuat ransomware juga manusia. Mereka juga menikmati liburan akhir tahun sebelum kembali menjalankan aksinya di awal 2019.

Terbukti, infeksi ransomware marak terjadi di bulan Januari 2019. Berbeda dengan para pekerja kantoran atau anak sekolah yang ditunggu kehadirannya setelah liburan, kehadiran pembuat ransomware tentu tidak diharapkan.

Karena jika komputer kita menjadi korban ransomware, maka pembuatnya akan mendapatkan sumpah serapah karena file penting di komputer pengguna dikunci secara digital (enkripsi).

Untuk mendapatkan kembali file yang dienkripsi, korban ransomware harus membayar uang tebusan (ransom) yang bervariasi besarannya, bahkan ada yang sampai USD 980 atau sekitar Rp 14 juta.

Contoh saat ada file yang tersandera ransomware.

Rumba Ransomware

Penyebaran Rumba ransomware cukup tinggi dan banyak dilaporkan mengenkripsi komputer dari negara-negara seperti Turki, Mesir, Yunani, Brasil, Chile, Ekuador,
Venezuela, Jerman, Polandia, Hungaria, Indonesia, dan Thailand.

Karena faktor infeksi utama ransomware adalah melalui instalasi crack yang biasanya digunakan untuk membajak software, maka secara tidak langsung dapat dikatakan kalau negara-negara yang banyak menjadi korban Rumba memiliki tingkat pengguna crack atau software bajakan yang cukup tinggi.

Aksi Rumba

Rumba akan menginfeksi komputer korbannya ketika mencari crack. Crack adalah program bantu khusus yang biasanya digunakan untuk membajak software asli.

Salah satu korban Rumba mendapatkan crack dari situs yang menawarkan program bajakan seperti gambar 2 di bawah ini.

Rumba, Ransomware yang Incar Pengguna Software Bajakan

Aktivitas membajak piranti lunak adalah kegiatan melanggar hukum dan Vaksincom menyarankan para pengguna komputer untuk menghindari membajak software dan sedapat mungkin mengusahakan untuk menggunakan software asli.

Tingginya biaya membeli piranti lunak dapat disiasati dengan membeli notebook yang sudah termasuk software original (Sistem Operasi) di dalamnya.

Sedangkan untuk software pengganti MS Office, jika ada kendala biaya, ada baiknya mempertimbangkan menggunakan software alternatif yang legal seperti Open Office atau Libre Office yang menurut pengalaman penulis sudah memiliki kompatibilitas yang cukup baik dan dapat membuka file MS Office seperti docx, xlsx karena format ini sudah distandarisasi oleh Open Document Format dan dapat dibuka baik menggunakan Open/Libre Office dan Google Docs/Sheet dan sebaliknya.

Penggunaan software bajakan, selain mengakibatkan infeksi ransomware dalam proses membajak seperti kasus Rumba ini, juga membuka celah keamanan besar bagi sistem yang menggunakan. Karena semua software, baik sistem operasi dan aplikasi, pada dasarnya membutuhkan update secara teratur. Pasalnya, selalu ditemukan celah keamanan baru untuk semua software setiap hari.

Dengan menggunakan software legal, pengguna software dapat melakukan update software secara otomatis dan aman dari eksploitasi.

Rumba akan mengenkripsi menggunakan Salsa20 dengan kunci 256 bit. Sebelum melakukan enkripsi, Rumba akan menghubungi server di grovyroet.online yang akan mengirimkan masterkey yang nantinya akan digunakan Rumba untuk mengenkripsi semua data di komptuer korbannya.

Jika tidak mendapatkan master key dari server, Rumba akan menggunakan masterkey lain yang sudah tersedia.

Satu catatan menarik yang menjadi perhatian adalah ketika pertama kali menginfeksi sistem, Rumba akan mencari antivirus Windows Defender dan untuk memuluskan aksinya, pertama-tama ia akan melumpuhkan Windows Defender di komputer yang diincarnya dengan menonaktifkan realtime monitoring.

Antisipasi dan Pencegahan

Saat ini, metode enkripsi Rumba belum dapat dipecahkan karena kunci dekripsi hanya dimiliki oleh pembuat ransomware.

Jika Anda cukup "beruntung", di mana ketika proses menghubungi server gagal dan tidak mendapatkan masterkey, maka Rumba akan menggunakan masterkey default dalam mengenkripsi data korbannya.

Dalam kasus ini, dekripsi atas file yang dienkkripsi oleh Rumba menjadi mungkin. Adapun ID file yang sudah bisa di-dekripsi adalah :

6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0

atau

D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB

Cara mengetahui ID file yang terenkripsi adalah dengan membuka file yang terenkripsi menggunakan Notepad lalu lihat bagian akhir dari file dan perhatikan string di depan {36A69889...} (bagian yang ditandai kuning dalam gambar 3 di bawah).

 Gb 3. Cara mengetahui personal ID file yang dienkripsi.

Jika string tersebut sesuai dengan dua string di atas, maka kunci dekripsi tersebut menggunakan kunci standar.

Hubungi penyedia program antivirus Anda untuk mengetahui lebih jauh kemungkinan recovery data Anda yang dienkripsi Rumba.

Jika ID file Anda berbeda dengan dua ID di atas, langkah yang dapat dilakukan adalah menyimpan data yang terenkripsi beserta pesan ransomware dan berdoa semoga segera dekripsi atas Rumba ini segera ditemukan.

Untuk mencegah infeksi ransomware di kemudian hari, ada baiknya menerapkan beberapa langkah tambahan seperti menonaktifkan WSH, WPS dan menggunakan program antivirus yang cukup andal dalam menghadapi ransomware seperti hasil pengetesan yang dilakukan oleh PC Magazine.

Program antivirus yang handal dalam menghadapi ransomware Rumba.

Namun terlepas dari apapun perlindungan yang Anda lakukan, Vaksincom akan menginformasikan satu 'aji pamungkas' dalam menghadapi semua ransomware, baik ransomware yang ada saat ini maupun ransomware masa depan.

Aji pamungkasnya bukan program antivirus, tetapi backup, backup, dan backup.


---

*Alfons Tanujaya aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.

Ransomware Rumba Mengincar Penikmat Software Bajakan!


-------------------------------- ALL YOUR FILES ARE ENCRYPTED -------------------------------
Don't worry, you can return all your files!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://files.danwin1210.me/uploads/01-2019/Decrypt%20Software%20Overview.avi
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" folder if you don't get answer more than 6 hours.
-----------------------------------------------------------------------------------------------------------

To get this software you need write on our e-mail:
[email protected]
Reserve e-mail address to contact us:
[email protected]

Pesan di atas adalah sebuah pesan yang tercipta pada PC yang terkena Ransomware Rumba. Virus Rumba hanyalah versi baru dari ancaman lain, namun, tidak ada perbedaan besar dalam virus itu sendiri, kecuali untuk nama, ekstensi tambahan dan catatan tebusan yang sedikit disesuaikan '_openme.txt', yang memberikan penjelasan terperinci. pada apa yang diharapkan penjahat dari pengguna, ketika sistem mereka dikompromikan. Tetapi bahkan sebelum Anda melihat fitur-fitur ini, ransomware melakukan banyak proses latar belakang sebelum menghadirkannya sendiri.

Diyakini bahwa virus Rumba saat ini sebagian besar menyebar melalui berbagai eksploitasi perangkat lunak dan alat KMSpico, yang merupakan aktivator Windows ilegal, yang para peretas suka gunakan sebagai umpan untuk menyebarkan malware mereka. Setelah pengguna membuka atau menginstal program yang terinfeksi, rumba ransomware juga akan diinisiasi dan mulai melakukan operasi jahat. Itu memodifikasi kunci registri Windows untuk tetap gigih dan mendapatkan otorisasi, mem-bypass perlindungan antivirus, menulis sendiri ke berbagai folder sistem untuk muncul kembali setelah komputer dimatikan dan dinyalakan, mencari file yang cocok untuk Enkripsi dan lain-lain. Proses ini tidak memakan waktu lama dan biasanya tidak terlalu mencolok. Korban hanya bisa melihat konsekuensinya.

Ketika virus Rumba melihat semua data yang ingin dienkripsi, ia menggunakan Cipher untuk mengunci mereka, jadi hanya mereka yang memiliki kode dekripsi yang dapat mengaksesnya, yang tentu saja hanya pengembang .rumba sendiri. Ini memungkinkan mereka untuk meminta uang tebusan tetapi untuk memberi tahu para korban mengapa komputer mereka terinfeksi Rumba ransomware menjatuhkan catatan teks tebusan di layar dan menambahkan string .rumba ke setiap nama file yang terpengaruh ('pictureofdog.jpg' akhirnya menjadi ' pictureofdog.jpg.rumba '). Ini hanya teknik Scareware, yang mencoba mendorong pengguna untuk membayar, seperti isi catatan tebusan, mengatakan bahwa Anda harus melakukannya dalam 72 jam, bahwa tidak ada pilihan lain dan lain-lain. Tetapi Anda harus mengerti, bahwa penjahat tidak bisa dipercayai apa pun yang mereka katakan, dan ini adalah situasi yang sangat umum ketika korban membayar tetapi tidak mendapatkan kembali decrypter yang dijanjikan.

Pembuat ransomware juga manusia. Mereka juga menikmati liburan akhir tahun sebelum kembali menjalankan aksinya di awal 2019.

Terbukti, infeksi ransomware marak terjadi di bulan Januari 2019. Berbeda dengan para pekerja kantoran atau anak sekolah yang ditunggu kehadirannya setelah liburan, kehadiran pembuat ransomware tentu tidak diharapkan.

Karena jika komputer kita menjadi korban ransomware, maka pembuatnya akan mendapatkan sumpah serapah karena file penting di komputer pengguna dikunci secara digital (enkripsi).

Untuk mendapatkan kembali file yang dienkripsi, korban ransomware harus membayar uang tebusan (ransom) yang bervariasi besarannya, bahkan ada yang sampai USD 980 atau sekitar Rp 14 juta.

Contoh saat ada file yang tersandera ransomware.

Rumba Ransomware

Penyebaran Rumba ransomware cukup tinggi dan banyak dilaporkan mengenkripsi komputer dari negara-negara seperti Turki, Mesir, Yunani, Brasil, Chile, Ekuador,
Venezuela, Jerman, Polandia, Hungaria, Indonesia, dan Thailand.

Karena faktor infeksi utama ransomware adalah melalui instalasi crack yang biasanya digunakan untuk membajak software, maka secara tidak langsung dapat dikatakan kalau negara-negara yang banyak menjadi korban Rumba memiliki tingkat pengguna crack atau software bajakan yang cukup tinggi.

Aksi Rumba

Rumba akan menginfeksi komputer korbannya ketika mencari crack. Crack adalah program bantu khusus yang biasanya digunakan untuk membajak software asli.

Salah satu korban Rumba mendapatkan crack dari situs yang menawarkan program bajakan seperti gambar 2 di bawah ini.

Rumba, Ransomware yang Incar Pengguna Software Bajakan

Aktivitas membajak piranti lunak adalah kegiatan melanggar hukum dan Vaksincom menyarankan para pengguna komputer untuk menghindari membajak software dan sedapat mungkin mengusahakan untuk menggunakan software asli.

Tingginya biaya membeli piranti lunak dapat disiasati dengan membeli notebook yang sudah termasuk software original (Sistem Operasi) di dalamnya.

Sedangkan untuk software pengganti MS Office, jika ada kendala biaya, ada baiknya mempertimbangkan menggunakan software alternatif yang legal seperti Open Office atau Libre Office yang menurut pengalaman penulis sudah memiliki kompatibilitas yang cukup baik dan dapat membuka file MS Office seperti docx, xlsx karena format ini sudah distandarisasi oleh Open Document Format dan dapat dibuka baik menggunakan Open/Libre Office dan Google Docs/Sheet dan sebaliknya.

Penggunaan software bajakan, selain mengakibatkan infeksi ransomware dalam proses membajak seperti kasus Rumba ini, juga membuka celah keamanan besar bagi sistem yang menggunakan. Karena semua software, baik sistem operasi dan aplikasi, pada dasarnya membutuhkan update secara teratur. Pasalnya, selalu ditemukan celah keamanan baru untuk semua software setiap hari.

Dengan menggunakan software legal, pengguna software dapat melakukan update software secara otomatis dan aman dari eksploitasi.

Rumba akan mengenkripsi menggunakan Salsa20 dengan kunci 256 bit. Sebelum melakukan enkripsi, Rumba akan menghubungi server di grovyroet.online yang akan mengirimkan masterkey yang nantinya akan digunakan Rumba untuk mengenkripsi semua data di komptuer korbannya.

Jika tidak mendapatkan master key dari server, Rumba akan menggunakan masterkey lain yang sudah tersedia.

Satu catatan menarik yang menjadi perhatian adalah ketika pertama kali menginfeksi sistem, Rumba akan mencari antivirus Windows Defender dan untuk memuluskan aksinya, pertama-tama ia akan melumpuhkan Windows Defender di komputer yang diincarnya dengan menonaktifkan realtime monitoring.

Antisipasi dan Pencegahan

Saat ini, metode enkripsi Rumba belum dapat dipecahkan karena kunci dekripsi hanya dimiliki oleh pembuat ransomware.

Jika Anda cukup "beruntung", di mana ketika proses menghubungi server gagal dan tidak mendapatkan masterkey, maka Rumba akan menggunakan masterkey default dalam mengenkripsi data korbannya.

Dalam kasus ini, dekripsi atas file yang dienkkripsi oleh Rumba menjadi mungkin. Adapun ID file yang sudah bisa di-dekripsi adalah :

6se9RaIxXF9m70zWmx7nL3bVRp691w4SNY8UCir0

atau

D02NfEP94dKUO3faH1jwqqo5f9uqRw2Etn2lP3VB

Cara mengetahui ID file yang terenkripsi adalah dengan membuka file yang terenkripsi menggunakan Notepad lalu lihat bagian akhir dari file dan perhatikan string di depan {36A69889...} (bagian yang ditandai kuning dalam gambar 3 di bawah).

 Gb 3. Cara mengetahui personal ID file yang dienkripsi.

Jika string tersebut sesuai dengan dua string di atas, maka kunci dekripsi tersebut menggunakan kunci standar.

Hubungi penyedia program antivirus Anda untuk mengetahui lebih jauh kemungkinan recovery data Anda yang dienkripsi Rumba.

Jika ID file Anda berbeda dengan dua ID di atas, langkah yang dapat dilakukan adalah menyimpan data yang terenkripsi beserta pesan ransomware dan berdoa semoga segera dekripsi atas Rumba ini segera ditemukan.

Untuk mencegah infeksi ransomware di kemudian hari, ada baiknya menerapkan beberapa langkah tambahan seperti menonaktifkan WSH, WPS dan menggunakan program antivirus yang cukup andal dalam menghadapi ransomware seperti hasil pengetesan yang dilakukan oleh PC Magazine.

Program antivirus yang handal dalam menghadapi ransomware Rumba.

Namun terlepas dari apapun perlindungan yang Anda lakukan, Vaksincom akan menginformasikan satu 'aji pamungkas' dalam menghadapi semua ransomware, baik ransomware yang ada saat ini maupun ransomware masa depan.

Aji pamungkasnya bukan program antivirus, tetapi backup, backup, dan backup.


---

*Alfons Tanujaya aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.
Baca Juga

Share This

Related Post

Load comments

Subscribe Our Newsletter