‘Scam Eva Richter’ Mengenkripsi File Anda Dengan Menyamar Sebagai Resume Palsu
menuliskan email pekerjaan berjudul "Bewerbung via Arbeitsagentur – Eva Richter" (Aplikasi melalui Agen Tenaga Kerja – Eva Ritcher) bisa menjadi bencana bagi Anda, menurut laporan baru.
Bleeping Computer, sebuah situs web yang didedikasikan untuk melaporkan Cybersecurity, membenarkan adanya penipuan resume palsu "Eva Ritcher". Penipuan menargetkan orang-orang di Jerman dengan melampirkan file ".exe" berbahaya, dalam email, yang dimiliki sebagai aplikasi resume PDF.
Penipuan baru ini berfungsi mirip dengan Ransomware dalam fungsinya. Pertama-tama mengenkripsi file di komputer kemudian meminta uang pemerasan, dalam bentuk Bitcoin, untuk mendekripsi file.
"Eva Ritcher" Lanjutkan Palsu: Bagaimana Cara Kerjanya?
Penipuan resume palsu "Eva Ritcher" berperan sebagai email lamaran pekerjaan yang mengaku berasal dari agen tenaga kerja. Teks email berbunyi:
E-mail ini juga berisi file bernama "Eva Richter Bewerbung und Lebenslauf.zip" (Aplikasi Eva Ritcher dan CV.zip).
Di dalam file zip ada resume dan stok foto, keduanya mengklaim milik Eva Ritcher. Penipu menggunakan teknik "ikon-kustom" dan "ekstensi ganda" untuk mengelabui pengguna agar membuka file berbahaya.
Resume memiliki ikon PDF tetapi saat memeriksa ekstensinya Anda dapat melihat bahwa itu adalah file ".exe".
Secara khusus, ini adalah installer Ordinypt. Menurut komputer Bleeping, itu berkedip layar beberapa kali. Setelah itu, malware mulai mengenkripsi file di komputer.
Philipp Mackensen, seorang insinyur terbalik, menggambarkan Ordinyptus sebagai penyeka yang menyamar sebagai ransomware. Dia menjelaskan bahwa Ordinypt menukar data file dengan huruf kecil acak, huruf besar, dan simbol sambil menghancurkan yang asli.
Ordinypt dalam contoh ini berfungsi seperti ransomware dan juga penghapus: program jahat yang menghancurkan file saat mengenkripsi file tersebut.
Di sini, penginstal mengenkripsi file, menonaktifkan Windows 10 lingkungan pemulihan dan akhiri semua proses sambil menghapus salinan volume bayangan. Selain itu, enkripsi yang dilakukannya melibatkan mengisi file dengan banyak data acak, membuatnya tidak bisa dibaca.
Ordinypt menciptakan file pseudo dari dokumen asli yang berarti menghancurkan setengah dari data file sambil mengenkripsi setengah lainnya. Itu juga menambahkan ekstensi khusus ke semua file terenkripsi untuk identifikasi.
Setelah menyelesaikan enkripsi / penghancuran data, Ordinypt meninggalkan catatan tebusan (ekstensi) _how_to_decrypt.txt. Ini mengarahkan pengguna ke situs Tor untuk melakukan pembayaran sekitar 0,1473766 BTC yang berjumlah $ 1.518,97.
Laporan tentang Ordinypt menyarankan untuk tidak melakukan pembayaran kepada scammers ini. Ini karena Ordinypt menghancurkan file pengguna ketika mengenkripsi file tersebut.
Menurut laporan itu, dalam beberapa kasus, Shadow Volume Copies berhasil selamat dari Ordinypt. Dalam hal ini, Anda dapat memulihkan file Anda.
Untuk yang belum tahu, Shadow Volume Copies adalah teknologi yang diperkenalkan oleh Microsoft pada tahun 2001 dengan Microsoft Windows Paket Layanan XP 2. Ini membuat cadangan otomatis file Anda di salah satu bagian dari hard drive Anda.
Pertemuan Dini dengan Ordinypt
Ini bukan pertama kalinya Ordo Mesir menyamar sebagai resume palsu untuk menimbulkan kekacauan pada pengguna. Awalnya ditemukan oleh Michael Gillespie.
Pada 2017, Ordinypt didistribusikan dengan cara yang sama, melalui email resume palsu. Satu-satunya perbedaan adalah bahwa nama pemohon palsu adalah "Viktoria Henschel", bukan "Eva Ritcher."
Metode melampirkan file berbahaya melalui aplikasi resume sebelumnya digunakan oleh Petya Ransomware, yang dienkripsi bukan file tetapi seluruh bagian dari hard drive, hanya untuk membuka kunci dengan imbalan pembayaran yang lumayan.
Agar tetap aman dari serangan online semacam ini, selalu ikuti aturan berikut:
- Perbarui definisi virus Anda secara berkala.
- Simpan cadangan offline data Anda di hard drive terpisah.
- Jaga firewall Anda dan selalu periksa sifat, ekstensi, dan jenis file sebelum Anda membukanya.
