Ransomware Zenis Menyerang dengan Enkripsi Khusus

Sebuah ransomware bernama Zenis mulai unjuk gigi berkeliaran di dunia maya, yang membedaka, ia menggunakan metode enkripsi khusus saat mengenkripsi file. Versi terbaru, memanfaatkan enkripsi AES untuk mengenkripsi file. Namun yang paling mengganggu dari Zenis adalah ia tidak hanya mengenkripsi file, tapi juga sengaja menghapus backup Anda.

Untuk saat ini masih belum diketahui bagaimana ransomware Zenis didistribusi, meski demikian dari sampel yang ditemukan dan diteliti ada kemungkinan malware pemeras ini menginfeksi orang melalui Remote Desktop Service yang diretas.

Cara Zenis Mengenkripsi

Saat dieksekusi, varian ransomware ini akan melakukan dua cek untuk melihat apakah seharusnya mulai mengenkripsi computer. Cek pertama adalah untuk melihat apakah file yang dieksekusi diberi nama iis_agent32.exe. Cek lainnya adalah melihat apakah ada nilai registri yang disebut HKEY_CURRENT_USER\SOFTWARE\ZenisService “Active”.

Jika nilai registri ada atau file tidak bernama iis_agent32.exe, maka akan menghentikan proses dan tidak mengenkripsi komputer. Jika lolos pemeriksaan, ia kemudian akan mulai mendapatkan ransom note dengan mengisi beberapa informasi, seperti email dan data terenkripsi. Setelah selesai maka akan menjalankan perintah berikut untuk menghapus salinan volume shadow, disable startup repair, dan clear event logs.

• cmd.exe /C vssadmin.exe delete shadows /all /Quiet
• cmd.exe /C WMIC.exe shadowcopy delete
• cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
• cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
• cmd.exe /C wevtutil.exe cl Application
• cmd.exe /C wevtutil.exe cl Security
• cmd.exe /C wevtutil.exe cl System”

Ransomware Zenis kemudian akan mencari berbagai proses dan menghentikannya. Proses yang dihentikan adalah:

• sql
• taskmgr
• regedit
• cadangan

Setelah menyiapkan sistem yang dipilihnya, ia akan mulai mengenkripsi file di komputer. Hal ini dilakukan dengan memindai drive pada komputer untuk file dengan ekstensi tertentu. Jika menemukan file yang cocok dengan salah satu ekstensi yang jadi sasaran, lalu mengenkripsinya dengan menggunakan kunci AES yang berbeda untuk setiap file.

Saat mengenkripsi file maka diubahnya nama file menjadi format berikut. Zenis- [2 karakter acak] [12 karakter acak]. Sebagai contoh, coba.jpg akan dienkripsi dan diubah namanya menjadi sesuatu seperti Zenis-4Q.4QDV9txVRGh4. Nama file asli dan tombol AES digunakan untuk mengenkripsi file akan dienkripsi dan disimpan ke akhir file.

Saat mencari file untuk dienkripsi, lalu menemukan file yang terkait dengan file cadangan, ia akan menimpa mereka tiga kali dan kemudian menghapusnya.

Ini untuk membuatnya lebih sulit bagi korban untuk mengembalikan file dari cadangan. Daftar ekstensi yang ditargetkan untuk penghapusan adalah:

.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff , .bak, .bak2, .bak3, .edb, .stm

Sementara mengenkripsi, ia juga akan membuat ransom note bernama Zenis-Instructions.html di setiap file yang dilaluinya. Catatan tebusan ini berisi petunjuk tentang cara menghubungi pengembang ransomware untuk mendapatkan kembali file mereka. Alamat email saat ini yang termasuk dalam ransom note adalah TheZenis@Tutanota.com, TheZenis@MailFence.com, TheZenis@Protonmail.com, dan TheZenis@Mail2Tor.com.

Antisipasi Ransomware Zenis

Untuk melindungi diri dari ransomware pada umumnya, penting bagi pengguna komputer untuk menggunakan kebiasaan komputasi dan solusi keamanan terbaik. Karena Zenis Ransomware dapat diinstal melalui Remote Desktop Service yang diretas, sangat penting untuk memastikannya terkunci dengan benar.

Ini termasuk memastikan tidak ada komputer yang menjalankan layanan remote desktop yang terhubung langsung ke Internet. Sebagai gantinya, tempatkan komputer yang menjalankan remote desktop di belakang VPN sehingga mudah diakses oleh mereka yang memiliki akun VPN di jaringan.

Pertama dan terutama, Anda harus selalu memiliki cadangan data yang dapat diandalkan dan teruji yang dapat dipulihkan dalam keadaan darurat, seperti serangan ransomware. Seperti ESET Anti Ransomware yang mampu mencegah banyak serangan malware termasuk infeksi ransomware. Selain itu, ESET juga memiliki beberapa tips aman agar pengguna komputer terhindar dari serangan siber, sebagai berikut:

1. Ransomware adalah jenis malware yang mengenkripsi data sehingga tidak dapat diakses oleh pemiliknya, sampai uang tebusan yang diminta dibayar oleh korban. Masalahnya tidak semua ransomware dapat ditaklukan, sehingga solusi back up saat ini merupakan cara yang paling mudah dan murah untuk menyelamatkan data. Jadi backup, backup dan backup.
2. Sudah sangat umum jika ransomware menggunakan email sebagai alat penyebaran, hal ini disebabkan masih banyak orang yang mudah tertipu dengan jebakan email semacam ini. ESET menyarankan penggunaan ESET Mail Security untuk mendeteksi dan menyaring setiap email yang masuk, memilah dan memilih mana yang aman dan mana yang berbahaya, jauh sebelum masuk ke dalam sistem.
3. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
4. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
5. Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
6. Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
7. Pastikan Software ESET di komputer Anda selalu dan sudah terupdate dan pastikan untuk mengunakan konfigurasi ESET Anti Ransomware. Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam seperti ESET.
8. Gunakan antivirus terbaik agar dapat mendeteksi segala serangan siber yang masuk, dan super ringan, agar tidak membebani kinerja komputer, laptop ataupun ponsel. Tentu kita masih ingat, bagaimana antivirus ESET pertama kali yang mendeteksi kehadiran WannaCry sehingga berhasil menyelamatkan jutaan pengguna komputer.
9. Gunakan 2FA atau Two Factor Authentication yang ESET biasa sebut sebagai ESET Secure Authentication, yaitu sistem pengamanan berlapis menggunakan dua verifikasi dengan perangkat berbeda, metode ini paling tidak disukai oleh penjahat siber, karena mereka harus melakukan upaya berkali-kali lipat jika ingin aman.
10. Gunakan enkripsi, untuk skenario yang paling buruk, enkripsi menjadi pelindung ampuh, data tercuri tidak bisa dibaca oleh penjahat siber, sementara ransomware akan kesulitan untuk mengenkripsi karena ekstensi enkripsi disembunyikan.

Sumber berita:

www.bleepingcomputer.com