Apa itu Ransomware Snatch dan Cara Menghapusnya:
Sepertinya pengembang crimeware tidak pernah tidur saat pertahanan meningkat. Mereka selalu mencari berbagai cara untuk mengasah senjata serang mereka.
Salah satu teknik terbaru merupakan jenis ransomware yang dapat memaksa perangkat Windows untuk melakukan boot ulang ke Safe Mode tepat sebelum enkripsi dimulai, dengan tujuan menghindari perlindungan titik akhir.
Strain khusus ini dikenal sebagai Snatch karena penulisnya, yang menyebut diri mereka sebagai Tim Snatch.
Itu ditemukan oleh para peneliti Sophos Labs, yang menguraikan penemuan mereka bersama dengan wawasan tentang bagaimana geng-geng tersebut membobol perusahaan dan entitas lain dalam daftar sasaran mereka. Kami akan menjelaskan apa itu Snatch ransomware, cara kerjanya, dan bagaimana Anda dapat menghapusnya dari perangkat Anda.
Apa itu Snatch Ransomware
Snatch adalah varian ransomware baru yang dapat dieksekusi memaksa perangkat Windows untuk reboot ke Safe Mode bahkan sebelum proses enkripsi dimulai dalam upaya untuk melewati perlindungan titik akhir yang sering tidak berjalan dalam mode ini. Ditemukan oleh para peneliti SophosLabs dan tim Sophos Managed Threat Response, ransomware snatch adalah salah satu dari beberapa komponen konstelasi malware yang digunakan dalam rangkaian serangan yang diatur dengan hati-hati yang menampilkan pengumpulan data ekstensif.
Strain baru ransomware menggunakan metode infeksi unik yang menerapkan enkripsi AES canggih sehingga pengguna yang mesinnya terinfeksi tidak dapat mengakses file mereka. Ransomware Snatch pertama kali terlihat aktif pada April 2019, tetapi dirilis pada akhir 2018.
Namun, lonjakan file terenkripsi dan catatan tebusan menyebabkan penemuan dan tindak lanjut oleh tim peneliti di Sophos. Bentuk crypto-virusnya menyerang target profil tinggi, tetapi jenis baru ini, dibuat menggunakan program Google Go, terdiri dari kumpulan alat termasuk fitur pencuri data dan ransomware.
Plus, ia memiliki shell balik Cobalt Strike dan alat lain yang digunakan oleh penguji penetrasi dan administrator sistem. Catatan:
Cara Kerja Snatch Ransomware
Sebagai virus pengunci file, Snatch ransomware tidak memiliki koneksi dengan strain lain.
Namun, pengembangnya merilis sembilan varian ancaman, yang menambahkan ekstensi berbeda setelah data dienkripsi dengan cipher AES. Triknya adalah me-reboot mesin ke Safe Mode, dan kemudian ransomware membatasi akses ke data Anda dengan mengenkripsi file Anda.
Setelah itu, para peretas mencoba memeras uang dari Anda dengan meminta uang tebusan dalam bentuk Bitcoin sebagai imbalan untuk membuka kunci file Anda dan mengembalikan akses data.
Ada alasan mengapa trik mereka berhasil.
Beberapa perangkat lunak antivirus tidak memulai dalam Safe Mode, dan pengembang menemukan bahwa mereka dapat dengan mudah memodifikasi kunci registri Windows dan mem-boot mesin Anda ke Safe Mode. Dengan demikian ransomware berjalan tanpa terdeteksi oleh perangkat lunak keamanan Anda.
Pertama kali diinstal pada perangkat Anda, ini datang melalui SuperBackupMan, layanan Windows, dan diatur tepat sebelum komputer Anda mulai melakukan booting ulang sehingga Anda tidak dapat menghentikannya tepat waktu.
Setelah diinstal, penyerang menggunakan akses admin untuk menjalankan BCDEDIT, alat baris perintah Windows, untuk memaksa komputer Anda segera melakukan boot ulang dalam Safe Mode.
Ini kemudian membuat executable bernama acak di folder %AppData% atau %LocalAppData% Anda, yang akan diluncurkan dan mulai memindai huruf drive komputer Anda untuk file yang akan dienkripsi.
File yang Ditargetkan oleh Snatch Ransomware
Ada ekstensi file tertentu yang dienkripsi, termasuk.doc,.docx,.pdf,.xls, dan banyak lainnya, yang menginfeksi dan mengubah ekstensinya menjadi Snatch sehingga Anda tidak dapat membukanya lagi. Ransomware meninggalkan catatan file teks Readme_Restore_Files.txt, menuntut apa pun antara satu dan lima Bitcoin dengan imbalan kunci dekripsi, dengan informasi tentang cara berkomunikasi dengan peretas untuk mendapatkan kembali file data Anda.
Setelah ransomware memindai komputer Anda sepenuhnya, ia menggunakan vssadmin.exe, perintah Windows untuk menghapus semua Salinan Volume Bayangan di dalamnya sehingga Anda tidak dapat memulihkan dan menggunakannya untuk memulihkan file data terenkripsi. Langkah terakhir adalah mengenkripsi file data apa pun di hard drive Anda.
Saat ini, file yang terinfeksi tidak dapat didekripsi karena sifat canggih dari enkripsi AES yang digunakan. Namun, Anda masih memiliki nyawa jika komputer Anda terinfeksi dengan memulihkan file Anda dari cadangan terbaru.
Snatch ransomware telah menargetkan pengguna biasa melalui email spam. Namun saat ini, target utamanya adalah korporasi.
Dengan membayar penjahat seperti itu, Anda tidak hanya kehilangan uang dan tidak memiliki jaminan bahwa mereka akan mengirimkan kunci dekripsi kepada Anda, tetapi juga mendorong mereka untuk melanjutkan kejahatan dunia maya mereka. Jika Anda tidak memiliki cadangan yang diperbarui, tidak banyak lagi yang dapat Anda lakukan selain menunggu hingga pakar keamanan membuat dekripsi ransomware Snatch.
Itu bisa memakan waktu lama, tetapi ada cara lain untuk melindungi diri dari serangan semacam itu.
Cara Menghapus Snatch Ransomware Dari Komputer Anda
Salah satu cara terbaik untuk menghapus Snatch ransomware dan malware lainnya adalah dengan menginstal perangkat lunak keamanan antivirus yang bagus seperti Malwarebytes atau SpyHunter yang dapat memindai, mendeteksi, dan menghilangkan ancaman. Tidak semua mesin antivirus dapat menangkapnya karena ini adalah malware yang sama sekali baru, jadi ada baiknya memindai menggunakan beberapa program.
Anda dapat melindungi diri dan perangkat Anda dari serangan ransomware dengan mengambil langkah-langkah sederhana seperti mengdowload perangkat lunak dari sumber tepercaya, dan menghindari membuka lampiran email dari sumber yang tidak tepercaya.
Cara lain untuk melindungi diri sendiri dan organisasi Anda dari Snatch dan jenis ransomware lainnya meliputi:
- Pertahankan sistem operasi yang diperbarui dan terus cadangkan data Anda.
- Lakukan audit kata sandi secara teratur.
- Terapkan perangkat lunak keamanan berlapis dan komprehensif untuk melindungi semua titik masuk dari serangan ransomware.
- Mengamankan alat akses jarak jauh dan program rentan lainnya karena penyerang Snatch mempekerjakan penjahat lain yang berpengalaman menggunakan cangkang Web atau dapat meretas server SQL melalui serangan injeksi.
- Lindungi antarmuka Remote Desktop Anda dengan menempatkannya di belakang VPN di jaringan Anda sehingga orang tidak akan mengaksesnya tanpa kredensial VPN.
- Jalankan pemeriksaan rutin dan menyeluruh pada semua perangkat di rumah atau organisasi Anda untuk memastikan mereka terlindungi dan dipantau karena Snatch memanfaatkan titik akses dan pijakan tersebut untuk mendapatkan akses masuk.
- Siapkan dan gunakan autentikasi multi-faktor untuk semua admin di organisasi Anda sehingga penyerang tidak dapat memaksa kredensial Anda dengan kasar.
- Lakukan perburuan ancaman penuh di jaringan Anda untuk mengidentifikasi aktivitas semacam itu sebelum infeksi.
Lindungi Sistem Anda
Snatch ransomware mungkin terdengar hampir mengancam jiwa dalam cara kerjanya melumpuhkan file dan perangkat Anda.
Sebelum Anda berpikir untuk membayar uang tebusan itu, coba langkah-langkah di atas untuk menghilangkan ancaman dan selalu lakukan tindakan pencegahan untuk memastikan ancaman ini dan itu tidak muncul di komputer atau jaringan Anda. Selanjutnya: Jika Anda mencurigai ponsel Anda terinfeksi ransomware, lihat artikel kami berikutnya untuk mengetahui cara mendeteksi dan menghapusnya.