28.6 C
Banjarmasin
Selasa, Januari 31, 2023

Waspada Crywiper si Ransomware Palsu

Malware CryWiper "mengaku" sebagai ransomware padahal merusak file di komputer secara permanen

Teknologi.info – Pakar Kaspersky telah menemukan serangan Trojan baru, yang mereka beri nama CryWiper. Sekilas, malware ini terlihat seperti ransomware: ia memodifikasi file, menambahkan ekstensi .CRY ke dalamnya (unik untuk CryWiper), dan menyimpan file README.txt dengan catatan yang menuntut tebusan berisikan alamat dompet bitcoin, kontak e -mail pembuat malware, dan ID infeksi.

CryWiper adalah malware yang dapat menghapus data dari komputer yang terinfeksi secara permanen. Ini dapat dilakukan dengan menghapus file-file yang ditentukan secara manual oleh pembuat malware atau dengan menggunakan algoritma yang dapat mencari dan menghapus file-file yang sesuai dengan kriteria yang ditentukan. CryWiper dapat dijalankan secara tersembunyi di latar belakang dan dapat menjadi sangat merusak bagi komputer yang terinfeksi. Ini biasanya disebarkan melalui email spam atau dengan menggunakan teknik phishing yang mengelabui pengguna untuk mengklik tautan atau mengunduh berkas yang terinfeksi.

CryWiper dapat menyebabkan kerusakan yang permanen pada komputer yang terinfeksi, sehingga sangat penting untuk mencegah infeksi ini dengan menginstal perangkat lunak anti-virus yang terpercaya dan menjaga keamanan online Anda dengan tidak mengklik tautan atau mengunduh berkas yang tidak dikenal. Jika Anda merasa bahwa komputer Anda telah terinfeksi dengan CryWiper, segera hubungi profesional keamanan komputer untuk membantu menghapus malware ini dan mengembalikan data yang hilang.

Jadi, CryWiper ini sebenarnya bukan ransomware melainkan penghapus (wiper), dimana file yang dimodifikasi oleh CryWiper tidak dapat dikembalikan ke keadaan semula — selamanya. Jadi, apabila Anda melihat catatan meminta sebuah tebusan dan file tersebut memiliki ekstensi .CRY baru, jangan terburu-buru untuk membayar uang tebusan, karena itu akan sia-sia.

Di masa lalu, Kaspersky telah melihat beberapa jenis malware yang menjadi penghapus secara tidak sengaja — karena kesalahan pembuatnya yang menerapkan algoritme enkripsi dengan buruk. Namun, kali ini bukan itu masalahnya: para ahli Kaspersky yakin bahwa tujuan utama penyerang bukanlah keuntungan finansial, melainkan penghancuran data. File tidak benar-benar dienkripsi; sebaliknya, Trojan menimpanya dengan data yang dibuat secara acak.

Apa yang diincar oleh CryWiper

Trojan akan merusak data apa pun yang tidak penting untuk fungsionalitas sistem operasi. Itu tidak akan memengaruhi file dengan ekstensi .exe, .dll, .lnk, .sys atau .msi, dan mengabaikan beberapa folder sistem di direktori C:\Windows. Malware berfokus pada database, arsip, dan dokumen pengguna.

Sejauh ini, para ahli Kaspersky hanya melihat serangan menempatkan sasarannya di Rusia. Namun, tentu saja tidak ada yang bisa menjamin bahwa kode yang sama tidak akan digunakan untuk target lainnya.

Bagaimana Cara kerja Trojan CryWiper

Selain langsung menimpa isi file dengan sampah, CryWiper juga melakukan hal berikut:

  1. Membuat tugas yang memulai ulang penghapusan setiap lima menit menggunakan Penjadwal Tugas (Task Scheduler);
  2. Mengirimkan nama komputer yang terinfeksi ke server C&C dan menunggu perintah untuk memulai serangan;
  3. Menghentikan proses yang terkait dengan: server database MySQL dan MS SQL, server mail MS Exchange, dan layanan web Direktori Aktif MS (jika tidak, akses ke beberapa file akan diblokir dan tidak mungkin merusaknya);
  4. Menghapus salinan bayangan file sehingga tidak dapat dipulihkan (dan hanya pada drive C: untuk alasan tertentu);
  5. Menonaktifkan koneksi ke sistem yang terpengaruh melalui protokol akses jarak jauh RDP (remote desktop protocol).

Tujuan yang terakhir tidak sepenuhnya jelas. Mungkin dengan penonaktifan seperti itu, penulis malware mencoba untuk memperumit pekerjaan para tim respons insiden, yang lebih memilih untuk memiliki akses jarak jauh ke mesin yang terpengaruh, namun malah mereka harus mendapatkan akses fisik ke sana.

Bagaimana agar tetap aman

Untuk melindungi komputer perusahaan Anda dari ransomware dan penghapus, pakar Kaspersky merekomendasikan langkah-langkah berikut:

  1. Selalu berhati-hati mengontrol koneksi akses jarak jauh ke infrastruktur Anda: melarang koneksi dari jaringan publik, mengizinkan akses RDP hanya melalui tembusan VPN, dan menggunakan kata sandi unik yang kuat dilengkapi autentikasi dua faktor;
  2. Memperbarui perangkat lunak penting secara tepat waktu, berikan perhatian khusus pada sistem operasi, solusi keamanan, klien VPN, dan alat akses jarak jauh;
  3. Meningkatkan kesadaran keamanan karyawan Anda, misalnya, menggunakan alat online khusus;
  4. Menerapkan solusi keamanan canggih untuk melindungi perangkat kerja dan perimeter jaringan perusahaan.
Jimmy Ahyari
Jimmy Ahyari
Seorang Apoteker yang menyukai dunia internet dan teknologi.
Artikel Terkait
Follow Us
2,689FansSuka
7,563PengikutMengikuti
4,500SubscribersSubscriber
Terbaru!