Ransomware REvil Versi Baru Kini Bisa Reboot PC Melalui Safe Mode

decryptor-ransomware-revil
Credit: BleepingComputer

Ransomware REvil yang dikembangkan kini telah diperbarui dalam melakukan serangannya dan fitur baru yang ditemukan memanfaatkan Windows Safe Mode untuk melakukan reboot melalui jaringan internal korban. Belum ada informasi mengenai korban yang terinfeksi oleh ransomware ini di bulan Maret.

Sebelumnya, ransomware REvil pernah melakukan serangan ke salah satu web hosting terpopuler yaitu Managed.com, yang mana serangan tersebut dilakukan pada bulan November 2020 dan akibatnya, Managed.com mengalami kerugian miliaran hingga layanan mereka ditutup sementara untuk mencegah serangan susulan.

Pada dasarnya, Windows memiliki keamanan yang kuat dan aman dari malware ataupun ransomware berbahaya, ini karena adanya pengamanan dari Windows Defender yang setiap hari akan mendeteksi aktivitas aman atau tidak. Namun, kelalaian pengguna itu sendiri yang akhirnya malware bisa masuk sewenang-wenang tanpa adanya pemberitahuan.

Menurut temuan dari peneliti MalwareHunter, ransomware REvil telah ditambahkan barisan perintah baru yang memaksa komputer untuk reboot ke Windows Safe Mode sebelum melakukan infeksi secara menyeluruh.

Jadi, apa itu Windows Safe Mode? Ini adalah cara khusus yang dirancang oleh Microsoft untuk memuat Windows ketika ada masalah tertentu yang menggangu operasional sistem tersebut. Tujuan Windows Safe Mode yaitu memecahkan masalah Windows yang sebelumnya tidak pernah terjadi, seperti terinfeksi ransomware, malware ataupun masalah sistem. 

Berikut perintah yang ditambahkan di ransomware REvil untuk melakukan reboot melalui Networking di sistem korban:

bootcfg /raw /a /safeboot:network /id 1 
bcdedit /set {current} safeboot network

Setelah perintah ini dijalankan, ransomware ini akan membuat autorun 'RunOnce' dengan nama '*franceisshit'. Selanjutnya, perintah bcdedit akan dijalankan untuk masuk ke dalam Safe Mode. Perintah tambahan lainnya juga dimasukkan yang diberi nama dengan 'AstraZeneca', yang mana perintah ini berfungsi untuk menjalankan ransomware di Safe Mode. 

Hal unik yang yang ada di ransomware ini adalah penggunaan nama masing-masing perintah dan kami menduga nantinya ransomware ini akan berkaitan dengan pencurian data informasi tentang vaksin, seperti yang terlihat di mesin penelusuran pada nama 'AstraZeneca', salah satu vaksin paling populer digunakan saat ini.

Saat reboot, perangkat akan memulai dalam Safe Mode With Networking, dan pengguna akan diminta untuk masuk ke Windows. Setelah mereka masuk, REvil ransomware akan dijalankan tanpa argumen -smode sehingga mulai mengenkripsi file pada perangkat.

Saat REvil mengenkripsi file, layar Safe Mode akan kosong, tetapi masih memungkinkan untuk menggunakan Ctrl + Alt + Delete untuk meluncurkan Windows Task Manager. Dari sana, Anda dapat melihat eksekusi yang dapat dijalankan, yang dalam pengujian kami dinamai 'smode.exe,' seperti yang ditunjukkan di bawah ini.

Berikut ini adalah hal yang harus dilakukan ketika di Windows Safe Mode:
  • Jika laptop / PC terasa lambat, periksa seluruh direktori folder dan jangan lupa periksa aktivitas latar belakang di Task Manager. Untuk membantu melakukan scanning lebih cepat, sebaiknya gunakan antivirus tepercaya seperti Malwarebytes, ESET Security, Kaspersky dan Sophos Intercept X.
  • Uninstall program yang baru saja di install dan bedakanlah performanya ketika perangkat lunak tersebut ada di perangkat kamu.
  • Masalah sistem Windows sering dialami karena driver yang sudah usang. Nah untuk memecahkan masalah ini sebaiknya kamu perbarui terlebih dahulu.
  • Jika laptop / PC tetap crash ketika dinyalakan, periksa hardware di dalamnya mungkin kamu tidak memasangnya dengan benar dan perbaiki penempatannya.
  • Jika semua sudah diselesaikan, cobalah restart PC.

Posting Komentar

0 Komentar