Seperti yang dilaporkan ESET (Sabtu, 9/4/2016), Kimcilware mengincar situs-situs yang menggunakan Magento, yaitu suatu sistem e-commerce, yang berarti mereka mengincar situs-situs belanja online atau sejenisnya sebagai sasaran utama. Website yang terinfeksi mendapati situs mereka terkunci dengan enkripsi Rijndael 256. Untuk membuka enskripsi tersebut, hacker meminta uang tebusan dengan jumlah tergantung dari varian yang menginfeksi mereka. Kimcilware dikabarkan juga berpotensi mencuri data yang terdapat di server.
Kimcilware merupakan varian Ransomware yang berasal dari Hidden Tear. Hidden Tear sendiri adalah Ransomware yang sudah diabaikan karena memiliki masalah koneksi server Command & Control. Namun pengembangnya membagikan secara gratis untuk keperluan edukasi.
Pengembang Kimcilware diduga berhasil mendapat source code dari hidden tear dan memperbaiki kelemahannya, sehingga mereka mampu membuat varian Ransomware baru yang lebih baik.
Baru-baru ini virus Kimcilware menjadi perbincangan hangat dunia maya, bukan tanpa alasan hal itu ramai dibincangkan. Karena nama dan sistem pengerusakkannya yang cukup serius, menjadi perhatian yang kerap disinggung banyak kalangan pekerja IT.
Seperti diberitakan sebelumnya, virus Kimcilware mampu menyerang sistem e-commerce yang menggunakan magento, kemudian mengunci laman dan melakukan enkripsi data di dalamnya dan terdeteksi bahwa varian kimcilware lebih dari satu.
Dalam sejarah virus yang ada di internet saat ini, virus Kimcilware tergolong ransomeware yang masuk dalam varian dari hidden tear, sebuah perangkat lunak jahat yang sudah lama diabaikan karena memiliki masalah pada koneksi ke server Command & Control namun dibagikan secara gratis untuk keperluan edukasi.
Pengembang virus ini memanfaatkan source hidden tear, kemudian mengembangkannya kembali dengan menulis program lain sesuai kehendaknya kemudian mendistribusikannya menjadi kimcilware. Didalam sistem virus ini diklaim mampu mengunci halaman, dan meretas server yang menggunakan magento untuk menyusup.
Malware ini akan mengenkripsi semua data pada website dan menambahkan ekstensi sesuai variannya. Berikut varian yang ada dari Kimcilware
Varian pertama:
Menghasilkan file .kimcilware ke semua file uang dienkripsi.
Memasukkan file index.html yang menampilkan ransom note.
Meminta uang tebusan sebesar $140 USD
Varian kedua:
Menghasilkan file . locked ke semua file uang dienkripsi.
Menghasilkan file README_FOR_UNLOCK.txt dalam setiap folder, yang berisi instruksi tebusan. file index.html yang menampilkan ransom note.
Meminta uang tebusan sebesar 1 bitcoin (sekitar $415 USD).
“Saat ini server Command & Control Kimcilware sudah diketahui dan dimatikan, namun bukan berarti peredarannya berhenti. Sebagian code Kincimware dibuat menggunakan PHP, bahasa pemprograman berbasis web yang sangat popular di Indonesia. Kesuksesan Kimcilware mendapatkan perhatian di dunia IT security dan biasanya akan diikuti oleh banyak penerusnya.” jelas Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia.
Dirinya menambahkan, dengan beredarnya Hidden Tear yang dapat dimodifikasi membuat setengah pekerjaan para pembuat malware sudah selesai dan dilanjutkan dengan kreativitas dan modifikasi target sesuai tujuan. Gelombang malware dengan tujuan ekonomi atau mendapatkan keuntungan finansial makin nyata, tidak lagi hanya sekedar mencari popularitas. Keamanan data di Indonesia sudah memasuki fase ini. Edukasi publik dan pemilihan software antivirus yang mumpuni menjadi sangat penting.
Berikut contoh folder yang terkunci oleh kimcilware, dan serangkaian ransom note yang disisipkan penjahat cyber
folder kimcil
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files. Pay to This BTC Address: 111111111111111111111111111111111 Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address. I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy 😉
references by arenalte, harianindo