Virus ini khusus di buat untuk mengenkripsi dokumen Anda dan kemudian memaksa Anda membayar untuk memulihkannya. Keluarga ransomware DJVU/STOP pertama kali diungkapkan dan ditemukan oleh analis virus Michael Gillespie.
Ketika virus berhasil menginfeksi, pengguna tidak dapat menggunakan dokumen atau foto sendiri. Versi ransomware ini menambahkan ekstensi ".efdc" sendiri ke dalam semua file terenkripsi. Misalnya, file "video.avi", akan diubah menjadi "video.avi.efdc". Segera setelah enkripsi berhasil dilakukan, virus membuat file tertentu "_readme.txt" dan memasukkannya ke semua folder yang berisi file yang dimodifikasi.
Kriptografi Algoritme yang digunakan oleh keluarga DJVU adalah AES-256. Jadi, jika file Anda dienkripsi dengan kunci dekripsi tertentu, yang benar-benar berbeda dan tidak ada salinan lainnya. Kenyataan yang menyedihkan adalah tidak mungkin memulihkan informasi tanpa kunci unik yang tersedia.
Jika ransomware bekerja dalam mode online, Anda tidak mungkin mendapatkan akses ke kunci AES-256. Itu disimpan di server jauh milik para penjahat yang mendistribusikan virus Efdc.
Perbedaan utama antara kunci online dan kunci offline adalah bahwa kunci online ada di tangan penjahat dan tidak dapat ditentukan. Kunci offline sudah diperbaiki dan dapat ditentukan oleh peneliti keamanan. Ini memberi harapan bahwa korban ransomware akan dapat mendekripsi file tanpa membayar uang tebusan.
Untuk menerima kunci dekripsi anda harus melakukan pembayaran . Untuk mendapatkan detail pembayaran, para korban didorong oleh pesan untuk menghubungi penipu melalui email tertentu, atau melalui akses lain ke pembuat virus.
Cara kerja virus efdc
Cara kerja virus ini adalah mengenkripsi 150KB pertama dari setiap file, yang cukup untuk membuat file tidak berguna namun juga membuat seluruh prosedur serangan komputer tetap cepat. Namun, karena ransomware hanya merusak sebagian file, format data tertentu dapat diperbaiki.
Setelah dijalankan pada sistem target, ia memindai semua direktori dan mengenkripsi semua file menggunakan algoritme RSA Salsa20, sehingga menandai setiap file dengan ekstensi .efdc tambahan .
Akibatnya, file yang awalnya bernama 1.jpg menjadi 1.jpg.efdc setelah dimodifikasi. Virus ini juga diatur untuk menjatuhkan catatan tebusan yang disebut _readme.txt di setiap folder data.
Menurut catatan, harga dekripsi bergantung pada seberapa cepat korban menulis kepada penyerang melalui email yang disediakan. Jika korban berhasil menyelesaikan kesepakatan dan membayar dalam waktu 72 jam, penjahat menyarankan diskon 50% yang menghasilkan $490 untuk alat dan kunci dekripsi. Jika tidak, korban harus membayar jumlah penuh, yaitu $980.
Bagaimana virus efdc masuk ke komputer
Inilah cara EFDC ransomware mungkin masuk ke komputer Anda:
- Penjahat dunia maya mengirim spam email, dengan informasi header palsu, menipu Anda agar percaya bahwa itu dari perusahaan pengiriman seperti DHL atau FedEx. Email tersebut memberi tahu Anda bahwa mereka mencoba mengirimkan paket kepada Anda, tetapi gagal karena suatu alasan. Terkadang email tersebut mengklaim sebagai pemberitahuan pengiriman yang telah Anda lakukan. Either way, Anda tidak dapat menahan rasa ingin tahu tentang apa yang dimaksud dengan email – dan buka file terlampir (atau klik tautan di dalam email). Dan dengan itu, komputer Anda terinfeksi dengan ransomware EFDC.
- Ransomware EFDC juga diamati menyerang korban dengan mengeksploitasi kerentanan dalam program yang diinstal pada komputer atau sistem operasi itu sendiri. Perangkat lunak yang umum dieksploitasi termasuk sistem operasi itu sendiri, browser, Microsoft Office, dan aplikasi pihak ketiga.