Ransomware Pembunuh Antivirus

Bebuyutan, status perseteruan antara antivirus dan malware, satu berpredikat sebagai tameng yang lain menjadi tombak penghujam. Dalam pikiran rumit seorang pengembang malware, menghindari pendeteksian selalu menjadi opsi pertama mereka, pilihan yang lain adalah membunuh atau menghancurkan tameng pelindung itu menjadi berkeping-keping.

Membunuh antivirus mungkin selalu menjadi doa-doa malam para pengembang malware karena satu-satunya penghalang antara mereka dan mangsa yang menjadi target mereka hanyalah antivirus. Mungkin tujuan itu yang kemudian melahirkan AVCrypt, varian ransomware baru yang diciptakan untuk menghapus perlindungan anti malware yang ada di komputer korban sebelum memulai pekerjaan jahat mereka.

Dari sampel yang diteliti, AVCrypt akan berusaha untuk tidak hanya menghapus produk antivirus yang ada sebelum mengenkripsi komputer yang dikompromikan tetapi juga akan menghapus pilihan layanan Windows. Ransomware AVCrypt juga berusaha meng-uninstall pernagkat lunak dengan cara yang belum terlihat sebelumnya.

Cara Kerja AVCrypt

Begitu kode berbahaya dijalankan pada komputer korban, hal pertama yang mereka lakukan adalah menyingkirkan antivirus, dengan menargetkan Malwarebytes dan Windows Defender. Defender adalah paket antivirus default dari Microsoft yang biasanya diaktifkan jika pengguna memutuskan untuk tidak menginstal perangkat lunak AV lainnya. Ransomware juga berusaha mencari antivirus lain sebelum mencoba menghapus instalasi program.

Untuk memusnahkan produk AV, ransomware menghapus layanan Windows yang diperlukan agar layanan perlindungan berjalan dengan baik. Layanan Windows yang AVCrypt hapus sebagai berikut:

• MBAMProtection

• Schedule

• TermService

• WPDBusEnum

• WinDefend dan

• MBAMWebProtection

Malware kemudian memeriksa untuk melihat apakah ada perangkat lunak antivirus yang terdaftar di Pusat Keamanan Windows dan menghapus rincian ini melalui baris perintah. Apakah penghapusan layanan Windows untuk menghambat perlindungan AV akan bekerja pada solusi keamanan lain tidak diketahui. Fitur wiper tidak sepenuhnya menghancurkan build Windows, tetapi kemungkinan akan menyebabkan degradasi layanan.

Setelah tahap ini selesai, AVCrypt kemudian mengunggah kunci enkripsi ke lokasi TOR bersama dengan informasi sistem dan zona waktu. Ransomware kemudian memindai file untuk dienkripsi, mengganti nama file dalam proses yang berjalan. Ransom note atau catatan tebusan disimpan sebagai “+ HOW_TO_UNLOCK.txt”, tidak berisi instruksi dekripsi atau informasi kontak.

Ulah AVCrypt yang lain adalah ia akan membatalkan perintah shutdown, tindakan ini merupakan upaya untuk mencegah pengguna mematikan komputer yang dapat menghentikan proses penginfeksian ransomware pada komputer. Kombinasi dari serangan sejenis juga dapat membuat sejumlah proses standar untuk pemulihan darurat tidak bisa dijalankan.

Jika melihat ransomware ini secara keseluruhan seperti malware pemeras ini masih dalam tahap pengembangan, karena beberapa elelmen tampaknya belum selesai, ada beberapa elemen enkripsi tetapi tidak ada ransom note yang benar. Microsoft dalam pernyataannya yang dipublikasi mengatakan bahwa hanya dua sampel dari malware ini terdeteksi dan oleh karena itu mereka juga percaya bahwa AVCrypt belum sempurna.

Mekanisme pengiriman atau pendistribusian AVCrypt sepertinya masih menggunakan metode standar yang terlihat di ransomware lain, termasuk spam berbahaya, URL drive-by, dan melalui perangkat lunak bajakan menjadi jalan bagi pengembang malware menyusupkan ransomware AVCrypt.

Mencegah Malware

Yang paling berbahaya dari ransomware yang belum sempurna biasanya pada metode pemulihan data yang seringkali gagal, akibatnya korban yang terinfeksi oleh ransomware meskipun sudah membayar tidak akan dapat memulihkan datanya kembali. Untuk terhindar dari peliknya permasalahan yang kerap dihadirkan oleh ransomware, tindakan pencegahan selalu menjadi hal paling mendasar. Berikut ESET sebagai antivirus terbaik dan super ringan tidak pernah bosan menghimbau para pengguna internet selalu menerapkan praktik dunia maya yang baik, berikut beberapa langkah pencegahan terbaik dalam menghadapi ransomware.

1. Kita semua tahu, tidak semua ransomware memiliki penangkalnya, sehingga solusi back up saat ini merupakan cara yang paling mudah dan murah untuk menyelamatkan data.

2. Jangan membuka lampiran jika tidak tahu siapa yang mengirimnya.

3. Jangan membuka lampiran sebelum mendapat konfirmasi bahwa orang tersebut benar-benar mengirim email

4. Gunakan ESET Mail Security untuk memilah mana email yang berbahaya dan tidak.

5. Pastikan Anda menggunakan beberapa jenis solusi keamanan

6. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.

7. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.

8. Update antivirus secara online dan terjadwal, pastikan mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.

9. Gunakan enkripsi, untuk skenario yang paling buruk, enkripsi menjadi pelindung ampuh, data tercuri tidak bisa dibaca oleh penjahat siber, sementara ransomware akan kesulitan untuk mengenkripsi karena ekstensi enkripsi disembunyikan.

10. Gunakan antivirus terbaik agar dapat mendeteksi segala serangan siber yang masuk, dan super ringan, agar tidak membebani kinerja komputer, laptop ataupun ponsel. Tentu kita masih ingat, bagaimana antivirus ESET pertama kali yang mendeteksi kehadiran WannaCry sehingga berhasil menyelamatkan jutaan pengguna komputer.

Sumber berita:

www.zdnet.com

www.darkreading.com