Apa itu Ransomware?
Ransomware adalah epidemi hari ini berdasarkan sekelompok malware yang digunakan oleh penjahat cyber untuk memeras uang dari Anda dengan menyimpan komputer atau file komputer Anda untuk sandera, menuntut pembayaran dari Anda untuk mendapatkannya kembali. Sayangnya Ransomware dengan cepat menjadi cara yang semakin populer bagi pembuat malware untuk memeras uang dari perusahaan dan pengguna. Jika tren ini dibiarkan berlanjut, Ransomware akan segera mempengaruhi perangkat IoT, mobil dan sistem SCADA dan ICS serta titik akhir komputer. Ada beberapa cara Ransomware bisa masuk ke komputer seseorang tetapi kebanyakan disebabkan oleh taktik rekayasa sosial atau menggunakan kerentanan perangkat lunak untuk menginstal secara diam-diam di mesin korban.
Selama setahun terakhir dan bahkan sebelum itu, pembuat malware telah mengirimkan gelombang email spam yang menargetkan berbagai kelompok. Tidak ada batasan geografis tentang siapa yang dapat terpengaruh, dan meskipun email pada awalnya menargetkan pengguna akhir individu, kemudian usaha kecil dan menengah, sekarang perusahaan menjadi target yang matang.
Selain teknik phishing sosial dan spear-phishing, Ransomware juga menyebar melalui port desktop jarak jauh. Ransomware juga mempengaruhi file yang dapat diakses pada drive yang dipetakan termasuk hard drive eksternal seperti USB thumb drive, drive eksternal, atau folder di jaringan atau di Cloud. Jika Anda memiliki folder OneDrive di komputer Anda, file tersebut dapat terpengaruh dan kemudian disinkronkan ke versi Cloud.
Tidak ada yang bisa mengatakan dengan pasti berapa banyak malware jenis ini yang ada di alam liar. Karena ada begitu banyak email yang belum dibuka dan begitu banyak infeksi yang tidak dilaporkan, sulit untuk mengatakannya.
Dampak pada mereka yang terkena dampak adalah bahwa file data dienkripsi dan pengguna akhir harus memutuskan, berdasarkan jam yang berdetak, apakah akan membayar uang tebusan atau kehilangan data selamanya. File yang terpengaruh biasanya format data populer seperti file Office, musik, PDF, dan file data populer lainnya. Strain yang lebih canggih menghilangkan “bayangan” komputer yang pada gilirannya memungkinkan pengguna untuk kembali ke titik waktu sebelumnya. Selain itu, “titik pemulihan” komputer dihancurkan serta file cadangan yang dapat diakses. Cara proses dikendalikan oleh penjahat adalah mereka memiliki server Command and Control yang menyimpan kunci pribadi untuk file pengguna. Mereka menerapkan penghitung waktu untuk penghancuran kunci pribadi, dan permintaan dan penghitung waktu mundur ditampilkan di layar pengguna dengan peringatan bahwa kunci pribadi akan dihancurkan pada akhir hitungan mundur kecuali jika uang tebusan dibayarkan. File itu sendiri tetap ada di komputer, tetapi dienkripsi, tidak dapat diakses bahkan dengan paksa.
Dalam banyak kasus, pengguna akhir hanya membayar uang tebusan, tanpa melihat jalan keluar. FBI merekomendasikan untuk tidak membayar uang tebusan. Dengan membayar uang tebusan, Anda mendanai kegiatan lebih lanjut seperti ini dan tidak ada jaminan bahwa Anda akan mengembalikan file Anda. Selain itu, industri keamanan siber semakin baik dalam menangani Ransomware. Setidaknya satu vendor anti-malware utama telah merilis produk “decryptor” dalam seminggu terakhir. Namun, masih tidak mungkin untuk melihat seberapa efektif alat ini.
Hal yang Harus Anda Lakukan Sekarang
Ada berbagai perspektif yang perlu dipertimbangkan. Individu ingin file mereka dikembalikan. Di tingkat perusahaan, mereka ingin file dan aset dilindungi. Di tingkat perusahaan, mereka menginginkan semua hal di atas dan harus dapat menunjukkan kinerja uji tuntas untuk mencegah orang lain terinfeksi dari apa pun yang digunakan atau dikirim dari perusahaan untuk melindungi mereka dari serangan massal yang pasti akan menyerang dalam waktu tidak lama. -terlalu -masa depan yang jauh.
Secara umum, setelah dienkripsi, kecil kemungkinan file itu sendiri dapat dienkripsi. Oleh karena itu, taktik terbaik adalah pencegahan.
Cadangkan data Anda
Hal terbaik yang dapat Anda lakukan adalah melakukan pencadangan reguler ke media offline, menyimpan beberapa versi file. Dengan media offline, seperti layanan pencadangan, kaset, atau media lain yang memungkinkan pencadangan bulanan, Anda selalu dapat kembali ke versi file yang lebih lama. Juga, pastikan untuk mencadangkan semua file data – mungkin ada di drive USB atau drive yang dipetakan atau kunci USB. Selama malware dapat mengakses file dengan akses tingkat tulis, perangkat lunak dapat dienkripsi dan disandera.
Pendidikan dan Kesadaran
Komponen penting dari proses pencegahan infeksi Ransomware adalah membuat pengguna akhir dan staf Anda mengetahui vektor serangan, khususnya SPAM, phishing, dan spear-phishing. Hampir semua serangan Ransomware berhasil karena pengguna akhir mengklik tautan yang tampaknya tidak berbahaya, atau membuka lampiran yang tampaknya berasal dari orang yang dikenal. Dengan mendidik staf dan mendidik mereka tentang risiko ini, mereka dapat menjadi garis pertahanan yang kritis terhadap ancaman berbahaya ini.
Tampilkan ekstensi file tersembunyi
Biasanya Windows menyembunyikan ekstensi file yang diketahui. Jika Anda mengaktifkan kemampuan untuk melihat semua ekstensi file di email dan sistem file, Anda dapat lebih mudah mendeteksi file kode malware mencurigakan yang menyamar sebagai dokumen ramah.
Filter file yang dapat dieksekusi di email
Jika pemindai email gateway Anda memiliki kemampuan untuk memfilter file lebih lanjut, Anda mungkin ingin menolak pesan email yang dikirim dengan lampiran file * .exe. Gunakan layanan cloud tepercaya untuk mengirim atau menerima file * .exe.
Nonaktifkan file agar tidak berjalan dari folder File sementara
Pertama, Anda harus mengizinkan file dan folder tersembunyi untuk ditampilkan di explorer sehingga Anda dapat melihat folder appdata dan programdata.
Perangkat lunak anti-malware memungkinkan Anda membuat aturan untuk mencegah eksekusi dari dalam appdata dan folder lokal serta folder data program komputer. Pengecualian dapat diatur untuk program yang sah.
Nonaktifkan RDP
Jika praktis untuk melakukannya, nonaktifkan RDP (protokol desktop jarak jauh) pada target dewasa seperti server, atau blokir dari akses Internet, memaksa mereka melalui VPN atau rute aman lainnya. Beberapa versi Ransomware menggunakan eksploitasi yang dapat menyebarkan Ransomware pada sistem target yang mendukung RDP. Ada beberapa artikel teknis yang merinci cara mematikan RDP.
Tambal dan Perbarui Semuanya
Penting agar Anda selalu mengikuti pembaruan Windows serta pembaruan antivirus untuk menghindari eksploitasi Ransomware. Tidak begitu jelas, sama pentingnya untuk mengikuti semua perangkat lunak Adobe dan Java. Ingat, keamanan Anda hanya sebaik tautan terlemah Anda.
Gunakan Pendekatan Berlapis untuk Perlindungan Titik Akhir
Ini bukan tujuan artikel ini untuk memvalidasi satu produk titik akhir di atas yang lain, melainkan untuk merekomendasikan metodologi cepat yang digunakan oleh industri. Anda harus memahami bahwa Ransomware sebagai bentuk malware, mempengaruhi keamanan titik akhir yang lemah. Jika Anda memperkuat keamanan titik akhir, Ransomware tidak akan tumbuh dengan mudah. Laporan dirilis minggu lalu oleh Institut Teknologi Infrastruktur Kritis (ICIT) merekomendasikan pendekatan berlapis, dengan fokus pada pemantauan heuristik berbasis perilaku untuk mencegah tindakan enkripsi file non-interaktif (seperti yang dilakukan Ransomware), dan pada saat yang sama menjalankan jaringan keamanan atau titik akhir anti-malware yang dikenal untuk mendeteksi dan menghentikan Ransomware. Penting untuk dipahami bahwa keduanya diperlukan karena sementara banyak program anti-virus akan mendeteksi strain Trojan berbahaya yang diketahui ini, strain zero-day yang tidak diketahui perlu dihentikan dengan menyadari perilaku enkripsinya, mengubah wallpaper, dan berkomunikasi melalui firewall ke Pusat Komando. dan Kontrol mereka.
Apa yang Harus Anda Lakukan Jika Anda Merasa Terinfeksi
Putuskan sambungan dari WiFi atau jaringan perusahaan dengan segera. Anda mungkin dapat menghentikan komunikasi dengan server Command and Control sebelum Anda selesai mengenkripsi file Anda. Anda juga dapat menghentikan Ransomware di komputer Anda dari mengenkripsi file di drive jaringan.
Gunakan Pemulihan Sistem untuk kembali ke keadaan bersih yang diketahui
Jika Anda mengaktifkan Pemulihan Sistem di mesin Windows, Anda mungkin dapat memulihkan sistem ke titik pemulihan sebelumnya. Ini hanya akan berfungsi jika strain Ransomware yang Anda miliki belum menghancurkan titik pemulihan Anda.
Boot ke Boot Disk dan Jalankan Perangkat Lunak Anti Virus Anda
Jika Anda boot ke disk boot, tidak ada layanan di registri yang dapat dimulai, termasuk agen Ransomware. Anda mungkin dapat menggunakan program anti-virus Anda untuk menghapus agen tersebut.
Pengguna Tingkat Lanjut Mungkin Dapat Melakukan Lebih Banyak
Ransomware menyematkan file yang dapat dieksekusi di folder Appdata profil Anda. Selain itu, entri di kunci Run dan Runonce di registri secara otomatis memulai agen Ransomware saat OS Anda sedang boot. Pengguna tingkat lanjut harus dapat
a) Jalankan pemindaian antivirus titik akhir untuk menghapus penginstal Ransomware
b) Mulai komputer dalam Safe Mode tanpa Ransomware berjalan, atau hentikan layanan.
c) Hapus program enkripsi
d) Pulihkan file terenkripsi dari cadangan offline.
e) Pasang perlindungan titik akhir berlapis termasuk perlindungan berbasis perilaku dan tanda tangan untuk mencegah infeksi ulang.