CryWiper, Ransomware Palsu yang Minta Tebusan Bitcoin

Selain langsung menimpa isi file dengan sampah, CryWiper juga melakukan hal berikut:

• Membuat tugas yang memulai ulang penghapusan setiap lima menit menggunakan Penjadwal Tugas (Task Scheduler);
• Mengirimkan nama komputer yang terinfeksi ke server C&C dan menunggu perintah untuk memulai serangan;
• Menghentikan proses yang terkait dengan: server database MySQL dan MS SQL, server mail MS Exchange, dan layanan web Direktori Aktif MS (jika tidak, akses ke beberapa file akan diblokir dan tidak mungkin merusaknya);
• Menghapus salinan bayangan file sehingga tidak dapat dipulihkan (dan hanya pada drive C: untuk alasan tertentu);
• Menonaktifkan koneksi ke sistem yang terpengaruh melalui protokol akses jarak jauh RDP (remote desktop protocol).

Tujuan yang terakhir tidak sepenuhnya jelas. Mungkin dengan penonaktifan seperti itu, penulis malware mencoba untuk memperumit pekerjaan para tim respons insiden, yang lebih memilih untuk memiliki akses jarak jauh ke mesin yang terpengaruh, namun malah mereka harus mendapatkan akses fisik ke sana. Temukan selengkapnya dalam postingan di Securelist (hanya dalam bahasa Rusia).

Bagaimana agar tetap aman

Untuk melindungi komputer perusahaan Anda dari ransomware dan penghapus, pakar Kaspersky merekomendasikan langkah-langkah berikut:

• Selalu berhati-hati mengontrol koneksi akses jarak jauh ke infrastruktur Anda: melarang koneksi dari jaringan publik, mengizinkan akses RDP hanya melalui tembusan VPN, dan menggunakan kata sandi unik yang kuat dilengkapi autentikasi dua faktor;
• Memperbarui perangkat lunak penting secara tepat waktu, berikan perhatian khusus pada sistem operasi, solusi keamanan, klien VPN, dan alat akses jarak jauh;
• Meningkatkan kesadaran keamanan karyawan Anda, misalnya, menggunakan alat online khusus;
• Menerapkan solusi keamanan canggih untuk melindungi perangkat kerja dan perimeter jaringan perusahaan.