Prioritaskan File Doc, Cerber Abaikan Shadow Volume Copies

Ransomware Cerber versi terbaru memiliki perilaku yang agak berbeda dari varian sebelumnya. Versi ini tidak menghapus shadow volume copies, memprioritaskan folder tertentu dan mengabaikan yang lain.

Dengan tidak lagi menghapus shadow volume control menjadi perubahan yang sangat fundamentalis untuk sebuah varian Cerber. Kondisi ini membuka peluang untuk memulihkan beberapa data yang terenkripsi dengan menggunakan software recovery khusus.

Alasan di balik perubahan ini masih dalam tahap penelitian lebih lanjut, tetapi modifikasi ini bukan berarti dalam versi berikutnya shadow volume copies akan disingkirkan dari daftar penghapusan fitur. Perubahan lain yang dibawa versi baru Cerber kini lebih memprioritaskan folder tertentu saat mengenkripsi yaitu pada folder dokumen Office dan data Bitcoin,

Kemudian ada perubahan pada daftar folder yang tidak lagi menjadi incaran, Cerber sepertinya menganggap berkas-berkas yang ada dalam beberapa folder dianggap tidak cukup layak untuk dienkripsi.

\$getcurrent\ (new)
\$recycle.bin\ (new)
\$windows.~bt\
\$windows.~ws\ (new)
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\intel\ (new)
\msocache\ (new)
\perflogs\ (new)
\program files (x86)\
\program files\
\programdata\
\recovery\ (new)
\recycled\ (new)
\recycler\ (new)
\system volume information\ (new)
\temp\ (new)
\users\all users\
\windows.old\
\windows10upgrade\ (new)
\windows\
\winnt\ (new)
\appdata\local\
\appdata\locallow\
\appdata\roaming\ (made more generic)
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

Dalam update terbarunya, Cerber menambahkan daftar file yang menjadi target enkripsi, sementara di sisi lain, Cerber tidak lagi mengenkripsi beberapa jenis file berikut:

.bat, .cmd, .com, .cpl, .dll, .exe, .hta, .msc, .msi, .msp, .pif, .scf, .scr, .sys

Menghapus beberapa ekstensi file bukan berarti jumlah ekstensi file sasaaran berkurang, karena Cerber juga menambahkan 50 ekstensi baru sehingga total keseluruhan target ransomware Cerber mencapai 493 ekstensi.

Dengan melakukan update, Cerber menjadi ancaman yang sama seperti sebelumnya, tetap undecryptable. Sementara ransom note mempunyai tampilan yang berbeda dengan menggunakan latar belakang highlight merah mengganti warna hijau pada ransom note sebelumnya.

Biasanya memasuki musim liburan banyak operasi serangan siber melambat atau mengalami penurunan yang cukup drastis, namun kelompok penjahat siber Cerber malah sibuk melakukan banyak aktivitas, menghabiskan waktu libur mereka dengan membanjiri internet dengan spam email dan exploit kit.

Dan eskalasi aktivitas mereka terus menguat sepanjang bulan ini, seperti yang terjadi minggu lalu saat mereka mengirim gelombang besar spam berisi laporan kartu kredit palsu. Seminggu kemudian operasi mereka tidak berhenti, mereka tetap aktif menguasai traffic distribusi spam email dan situs-situs yang dikompromikan.

Metode Penyebaran Cerber Baru

Kelompok penjahat siber seperti sedang bekerja keras satu bulan belakangan kontradiktif dengan kelompok lain yang lebih memilih meredakan aktivitas atau malah menghentikan sementara kegiatan ilegal mereka di dunia maya.

Kerja keras kelompok ini sangat terlihat dari upaya penyebaran Cerber yang menggunakan berbagai metode yang bervariasi dan dilakukan secara masif:

• Situs-situs yang berhasil dikuasai oleh geng Cerber merupakan bagian dari operasi Pseudo Darkleech yaitu penguasaan menyeluruh komputer sampai tingkat root menggunakan script tertentu yang disuntikkan pada situs yang dikompromikan untuk mengarahkan pengguna kepada exploit kit yang memanfaatkan Internet Explorer, Microsoft Edge, Flash Player dan Silverlight untuk menginfeksi host dengan Nemucod, yang merupakan tahap pertama downloader Nemucod saat bekerja, dan ia akan memasukkan ransomware Cerber pada kesempatan berikutnya.
• Penyebaran Cerber berikutnya memanfaatkan exploit kit yaitu RIG. Yang bertugas mengambil keuntungan dari kerentanan instalasi Adobe Flash Player CVE-2015-8651. Celah keamanan yang muncul ini kemudian dieksploitasi dengan secara otomatis menginstal dan menjalankan ransomware Cerber, dan dari operasi penyebaran terakhir di bulan Desember, banyak korban berjatuhan di Eropa dan Asia.
• Metode ketiga yang digunakan Cerber adalah metode konvensional yang sangat umum dilakukan oleh ransomware yaitu melalui email spam. Pada minggu lalu misalnya Cerber menggunakan laporan kartu kredit palsu untuk memancing korban agar mengunduh dan membuka lampiran email berbahaya. Minggu ini mereka mengirim email spam yang dilindungi password dengan password file tercantum di badan email itu sendiri. Tujuannya adalah untuk menghindari scanner keamanan agar tidak dapat melihat file yang terlindungi sandi.

Pencegahan Ransomware

Ransomware Cerber salah satu ransomware yang sering melakukan modifikasi dan mampu berkembang dengan sangat cepat dengan varian-varian baru yang selalu menghadirkan fitur-fitur inovatif yang membuatnya sulit dihentikan.

Sulit dihentikan bukan berarti ransomware ini dapat berkeliaran dengan bebas dan merajalela menyandera komputer dengan seenaknya, ada langkah-langkah penanggulangan yang bisa kita lakukan untuk terhindar dari bahaya ransomware, berikut ESET akan memberikan langkah pencegahan yang tepat untuk melindungi diri, sebagai berikut:

• Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
• Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
• Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
• Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
• Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
• Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
• Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan

Sumber berita:

www.bleepingcomputer.com