Awas! Satu jenis ransomware baru dikabarkan mulai bergentayangan mencari mangsa dan mengancam cyber security di berbagai perusahaan.
Dirilis pada bulan Maret 2023, pembuat ransomware bernama Akira ini mengeklaim sudah menyerang enam belas perusahaan dari berbagai sektor industri, termasuk pendidikan, keuangan, real estate, manufaktur, dan konsultan.
Ditemukan sampelnya oleh MalwareHunter Team, ransomware bernama Akira ini bekerja dengan cara mengenkripsi data, memodifikasi nama file yang terinfeksi, dan membuat ransom note.
Seperti operasi ransomware pada umumnya, Akira akan menembus jaringan perusahaan dan menyebar secara lateral ke perangkat-perangkat lain. Begitu threat actor berhasil mendapatkan kredensial admin domain Windows, mereka akan menyebarkan ransomware di seluruh jaringan.
Namun perlu diketahui, Akira tidak hanya menkripsi data untuk meminta tebusan. Pelaku juga akan mencuri data perusahaan korban untuk kepentingan pemerasan yang akan mereka lancarkan. Mereka akan memperingatkan korban bahwa data itu akan dirilis ke publik jika uang tebusan tidak dibayarkan.
Saat dieksekusi, Akira akan menghapus Windows Shadow Volume Copies pada perangkat yang terinfeksi dengan menjalankan PowerShell Command:
powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject"
Selanjutnya, ransomware akan mengenkripsi file dengan ekstensi file berikut:
.accdb, .accde, .accdc, .accdt, .accdr, .adb, .accft, .adf, .ade, .arc, .adp, .alf, .ora, .btr, .ask, .cat, .bdf, .ckp, .cdb, .cpd, .cma, .dad, .dacpac, .daschema, .dadiagrams, .db-shm, .db-wal, .dbf, .dbc, .dbt, .dbs, .dbx, .dbv, .dct, .dcb, .ddl, .dcx, .dlis, .dsk, .dqy, .dtsx, .dsn, .eco, .dxl, .edb, .ecx, .exb, .epim, .fdb, .fcd, .fmp, .fic, .fmpsl, .fmp12, .fol, .fpt, .gdb, .frm, .gwi, .grdb, .his, .hdb, .idb, .itdb, .ihx, .jet, .itw, .kdb, .jtx, .kexic, .kexi, .lgc, .kexis, .maf, .lwx, .mar, .maq, .mav, .mas, .mdf, .mdb, .mrg, .mpd, .mwb, .mud, .ndf, .myd, .nrmlib, .nnt, .nsf, .nyf, .nwdb, .oqy, .odb, .owc, .orx, .pdb, .pan, .pnz, .pdm, .qvd, .qry, .rctd, .rbf, .rodx, .rod, .rsd, .rpd, .sbf, .sas7bdat, .sdb, .scx, .sdf, .sdc, .spq, .sis, .sqlite, .sql, .sqlitedb, .sqlite3, .temx, .tps, .tmd, .trm, .trc, .udl, .udb, .usr, .vpd, .vis, .wdb, .vvv, .wrk, .wmdb, .xld, .xdb, .abcddb, .xmlff, .abx, .abs, .adn, .accdw, .icg, .hjt, .kdb, .icr, .maw, .lut, .mdt, .mdn, .vhd, .vdi, .pvm, .vmdk, .vmsn, .vmem, .nvram, .vmsd, .raw, .vmx, .subvol, .qcow2, .vsv, .bin, .vmrs, .avhd, .avdx, .vhdx, .iso, .vmcx
Ketika sedang melakukan enkripsi, encryptor Akira akan melewatkan file yang ada di folder Recycle Bin, System Volume Information, Boot, ProgramData, dan Windows. Jenis file lain yang dihindari encyrptor Akira adalah .exe, .lnk, .dll, .msi, dan .sys pada file sistem Windows.
File yang dienkripsi Akira akan mendapat tambahan ekstensi .akira di belakang namanya. Misalnya, ketika file bernama 1.doc dienkripsi, Akira akan mengganti namanya menjadi 1.doc.akira.
Dikutip dari BleepingComputer.com, Akira juga menggunakan Windows Restart Manager API untuk menutup proses atau mematikan Windows service yang mungkin membuat file tetap terbuka dan mencegah enkripsi.