Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Ransomware Hermes Antisipasi UAC Saat Pertama Kali Menyusup
  • Teknologi

Ransomware Hermes Antisipasi UAC Saat Pertama Kali Menyusup

4 min read

Credit image: Pixabay

Tiada hari tanpa ransomware mungkin menjadi moto bagi para peneliti keamanan saat ini, karena ransomware telah menjadi ancaman paling umum dihadapi oleh mereka setiap hari, salah satunya kasus terbaru dari ransomware Hermes yang punya kesamaan dengan ransomware Erebus karena memiliki kemampuan bypass UAC.

Ransomware Hermes yang berhasil menyusup masuk ke dalam komputer, pertama kali yang dikerjakanya adalah melakukan bypass terhadap User Account Control, atau UAC, yang disebut Eleven atau Elevation untuk menghapus Shadow Volume Copies dan file backup milik korban.

Bypass ini memungkinkan file VBS yang diberi nama Shade.vbs untuk bypass User Account Control. File VBS ini kemudian meluncurkan batch file bernama Shade.bat yang digunakan untuk membersihkan semua Shadow Volume Copies dan menghapus pengaturan file back up.

Kenapa UAC menjadi sasaran Hermes untuk diantisipasi, hal ini disebabkan karena UAC adalah fitur dalam Windows yang memiliki kemampuan untuk mencegah perubahan tidak sah dalam komputer yang biasanya berawal dari inisiatif aplikasi, virus atau pengguna lain.

User Account Control pula yang memastikan perubahan dilakukan hanya dengan persetujuan dari administtrator. Jika perubahan tidak disetujui oleh administrator maka perubahan tersebut tidak akan dieksekusi dan Windows tetap tidak berubah, seolah-olah tidak ada yang terjadi. Jadi dengan kata lain UAC memegang kontrol penuh terhadap regulasi dalam komputer.

Hermes Hapus File Back Up

Hermes menggunakan bypass UAC untuk menjalankan file batch disebut shade.bat. batch file ini tidak hanya menghapus Shadow Volume Copies komputer, tetapi juga menghapus back up image yang mungkin ada pada komputer. Hal ini untuk mencegah korban memulihkan file terenkripsi dari cadangan.

Back up image atau gambar cadangan yang dihapus adalah yang memiliki nama file seperti yang tercantum di bawah ini:

*.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk

Enkripsi Hermes

Saat ransomware Hermes mulai aktif dijalankan, hal pertama yang dilakukan adalah menyalin dirinya sendiri ke C:\Users\Public\Reload.exe dan mengeksekusi sendiri. Hermes kemudian meluncurkan batch file bernama system_.bat yang digunakan untuk menghapus installer asli.

Tahap berikutnya Hermes mulai memindai komputer dan unmapped network shares korban mencari file yang dengan ekstensi tertentu dan mengenkripsi mereka menggunakan enkripsi AES. Tidak kurang dari 600 ekstensi file yang menjadi target ransomware Hermes.

Namun yang berbeda dari Hermes setelah usai mengenkripsi file, ia tidak menambahkan ekstensi baru untuk file terenkripsi. Meskipun begitu, Hermes menambahkan penanda file pada akhir isi file terenkripsi dengan kata HERMES.

Ransom Note Hermes

Ketika sedang mengenkripsi file ransomware Hermes akan membuat catatan tebusan bernama DECRYPT_INFORMATION.html dan sebuah file bernama UNIQUE_ID_DO_NOT_REMOVE di setiap folder yang file dienkripsi. Hal ini diduga bahwa file UNIQUE_ID_DO_NOT_REMOVE berisi kunci enkripsi AES yang digunakan untuk mengenkripsi file, yang selanjutnya dienkripsi dengan kunci RSA bundel. Teknik yang membuat hanya pengembang ransomware yang dapat mendekripsi file dan mengambil kunci dekripsi korban.

Seperti yang dipaparkan di atas, selama proses ini ransomware juga akan menghapus Shadow Volume Copies dan file backup. Begitu selesai dengan tahap ini, ransomware menampilkan ransom note DECRYPT_INFORMATION.html yang berisi informasi tentang apa yang terjadi pada file korban, tawaran untuk mendekripsi 3 file gratis, dan instruksi pembayaran.

Ransom note mencakup dua metode di mana korban dapat menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran melalui alamat Bitmessage dari BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch atau mengirim email ke alamat x2486@india.com.

Langkah Pencegahan

Untuk membantu pengguna komputer terlindungi dari serangan ransomware, para peneliti ESET yang sudah sangat berpengalaman menghadapi ancaman malware memberikan beberapa tips pencegahan sebagai langkah awal meningkatkan keamanan siber sebagai berikut:

  • Gunakan antivirus dan antimalware komprehensif yang sudah dilengkapi dengan Mail Security, seperti ESET Mail Security yang mampu mendeteksi ransomware jauh sebelum masuk ke dalam sistem komputer, pengguna juga bisa melihat isi email tanpa membahayakan keamanan komputer atau server. Mengingat ransomware seringkali menyebar melalui email memiliki Mail Security merupakan keharusan.
  • Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar. Seperti ESET yang selalu memberikan update secara otomatis setiap waktu sehingga komputer akan selalu terjamin keamanannya.
  • Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  • Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  • Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan
  • Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  • Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  • Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.

Sumber berita:

www.bleepingcomputer.com
www.enigmasoftware.com

Tags: anti maling ESET Amnesty ESET deteksi Ransomware Ransomware Hermes

Post navigation

Previous Malware Makro Mulai Serang MacOS
Next Serangan Ransomware Android Meningkat 50 Persen Sejak 2016

Related Stories

Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
CometJacking Serangan yang Mengubah AI Jadi Mata-Mata CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
4 min read
  • Sektor Personal
  • Teknologi

CometJacking Serangan yang Mengubah AI Jadi Mata-Mata

October 7, 2025

Recent Posts

  • Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
  • Peretas Kini Serang Lewat Obrolan dan Kode QR
  • Pentingnya Layanan IT Terkelola dan Peran AI
  • Celah Zero-Day Zimbra Meretas Email & Kata Sandi
  • CometJacking Serangan yang Mengubah AI Jadi Mata-Mata
  • Ancaman Siber Intai Sektor Manufaktur dan Solusi MDR
  • Email Phising AI Tipu Semua Orang
  • Dua Spyware Android Mengintai Pengguna Signal dan ToTok
  • Bahaya Tersembunyi Aplikasi VPN Seluler Gratis
  • Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker
5 min read
  • Sektor Bisnis
  • Sektor Personal

Dokumen PDF Senjata Rahasia Serangan Terbaru Hacker

October 8, 2025
Peretas Kini Serang Lewat Obrolan dan Kode QR Peretas Kini Serang Lewat Obrolan dan Kode QR
3 min read
  • Sektor Personal
  • Teknologi

Peretas Kini Serang Lewat Obrolan dan Kode QR

October 8, 2025
Pentingnya Layanan IT Terkelola dan Peran AI Pentingnya Layanan IT Terkelola dan Peran AI
4 min read
  • Sektor Bisnis
  • Teknologi

Pentingnya Layanan IT Terkelola dan Peran AI

October 8, 2025
Celah Zero-Day Zimbra Meretas Email & Kata Sandi Celah Zero-Day Zimbra Meretas Email & Kata Sandi
4 min read
  • Sektor Personal

Celah Zero-Day Zimbra Meretas Email & Kata Sandi

October 7, 2025

Copyright © All rights reserved. | DarkNews by AF themes.