.ASASIN Pembunuh yang Tidak Membunuh

Untuk kesekian kalinya, ransomware paling berbahaya sepanjang tahun 2016-2017 mengubah lagi metode kerjanya, sebuah varian baru Locky yang baru saja dirilis menggunakan ekstensi .asasin untuk file terenkripsi muncul ke permukaan.

Dibandingkan varian sebelumnya Ykcol sebenarnya terlihat lebih pandai, dibanding yang satu ini, karena menggunakan ejaan yang salah. Dan untungnya distribusi ransomware juga melakukan kesalahan.

Perlu diketahui bahwa jika Anda terinfeksi dengan ransomware ini, bukan berarti terinfeksi dengan ransomware Asasin, karena beberapa situs mungkin menyebutnya begitu. Bukan terinfeksi oleh Locky yang menggunakan ekstensi .asasin.

Varian ini didistribusikan melalui email spam yang memiliki subjek mirip dengan “Document invoice_95649_sign_and_return.pdf sudah selesai” dan sedang dipalsukan muncul dari RightSignature dengan email documents@rightsignature.com. Untungnya, tidak begitu banyak yang bisa dilakukan si Locky, satu-satunya yang bekerja dalam kampanye ini subjek.

Siapa pun yang mendistribusikan spam email ini tidak menambahkan lampiran dengan benar, menyebabkan lampiran tidak terlihat oleh penerima selain sebagai gumpalan teks base64 yang dikodekan.

Bahkan jika lampiran itu bekerja dengan benar, lampirannya adalah arsip berukuran 7zip, atau .7z yang sebagian besar orang tidak tahu bagaimana cara membukanya. Lampiran 7zip ini berisi file VBS, yang ketika dijalankan akan mengunduh Locky yang dapat dieksekusi dari situs remote dan menjalankannya.

Perbedaan Ransomware Locky

Sebenarnya tidak banyak perbedaan antara varian ini dan varian ykcol sebelumnya. Perubahan terbesar adalah ketika varian ini mengenkripsi file, file tersebut akan mengubah nama file dan menambahkan ekstensi .asasin. Saat mengganti nama file, ia menggunakan format [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .asasin.

Ini berarti bahwa sebuah file bernama coba.jpg akan dienkripsi dan diberi nama seperti E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin.

Ketika Locky selesai mengenkripsi komputer, komputer akan menghapus file yang diunduh dan kemudian menampilkan catatan tebusan yang memberikan informasi tentang cara membayar uang tebusan. Nama catatan tebusan ini telah diubah untuk versi ini menjadi asasin.htm dan asasin.bmp. Sampai saat ini, situs pembayaran TOR Locky Decryptor meminta uang tebusan yang ditetapkan sebesar 0,25 BTC atau sekitar $1,200 USD.

Satu-satunya cara untuk memulihkan file terenkripsi adalah melalui backup, atau jika Anda sangat beruntung, melalui Shadow Volume Copies. Meskipun Locky berusaha menghapus Shadow Volume Copies, dalam beberapa kasus tertentu hal ini mungkin terjadi, ransomware gagal melakukannya karena alasan yang tidak jelas. Karena itu, jika Anda tidak memiliki cadangan data, ESET selalu menyarankan setiap orang mencoba upaya terakhir untuk memulihkan file terenkripsi dari Shadow Volume Copies.

Tindak Pencegahan

Untuk melindungi diri Anda dari Locky, atau dari alat peraga apa pun, penting bagi Anda untuk menggunakan kebiasaan komputasi dan perangkat lunak keamanan yang baik. Pertama dan terutama, Anda harus selalu memiliki cadangan data yang dapat diandalkan dan teruji yang dapat dipulihkan dalam keadaan darurat, seperti serangan ransomware.

  • Siapkan backup data yang tidak terhubung dengan komputer lain atau jaringan internet.

  • Jangan membuka lampiran jika Anda tidak tahu siapa yang mengirimnya.

  • Jangan membuka lampiran sampai Anda mengkonfirmasi bahwa orang tersebut benar-benar mengirim Anda.

  • Pindai lampiran atau email menggunakan ESET Mail Security.

  • Pastikan semua update Windows terinstal setiap kali keluar pemutakhiran baru.

  • Pastikan juga mengupdate semua program, terutama Java, Flash, dan Adobe Reader. Program lama mengandung kerentanan keamanan yang biasanya dieksploitasi oleh pengembang malware. Oleh karena itu, penting untuk memperbaruinya.

  • Pastikan Anda menggunakan beberapa jenis perangkat lunak keamanan yang terpasang, memiliki perlindungan berlapis lebih menjamin keamanan data, coba gunakan Dua Faktor Otentikasi, Enkripsi, dan Data leak Prevention yang kesemuanya dimiliki oleh ESET.

  • Gunakan kata sandi yang kuat dan jangan pernah menggunakan kembali kata sandi yang sama di beberapa situs atau akun.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id

 

Sumber berita:

https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-asasin-extension-via-broken-spam-campaigns/