Apa Itu Snatch Ransomware dan Cara Menghapusnya

Sepertinya pengembang crimeware tidak pernah tidur saat pertahanan meningkat. Mereka selalu mencari cara yang berbeda untuk mengasah senjata serangan mereka. Salah satu teknik terbaru adalah jenis ransomware yang dapat memaksa perangkat Windows untuk reboot ke Safe Mode tepat sebelum enkripsi dimulai, bermaksud untuk menyiasati perlindungan titik akhir.

Strain khusus ini dikenal sebagai Snatch karena penulisnya, yang menyebut diri mereka sebagai Tim Snatch. Dulu ditemukan oleh peneliti Sophos Labs, yang menguraikan penemuan mereka bersama dengan wawasan tentang bagaimana geng-geng tersebut masuk ke perusahaan dan entitas lain dalam daftar sasaran mereka.

Kami akan menjelaskan apa itu Snatch ransomware, cara kerjanya, dan bagaimana Anda dapat menghapusnya dari perangkat Anda.

Juga di Guiding Tech

Apa Itu Snatch Ransomware?

Snatch adalah varian ransomware baru yang eksekusinya memaksa perangkat Windows untuk reboot ke Safe Mode bahkan sebelum proses enkripsi dimulai dalam upaya untuk melewati perlindungan titik akhir yang sering tidak berjalan dalam hal ini mode.

Ditemukan oleh peneliti SophosLabs dan tim Sophos Managed Threat Response, the merebut ransomware adalah salah satu dari beberapa komponen konstelasi malware digunakan dalam serangkaian serangan yang diatur dengan hati-hati yang menampilkan pengumpulan data yang ekstensif.

NS jenis baru ransomware menggunakan metode infeksi unik yang menerapkan enkripsi AES canggih sehingga pengguna yang mesinnya terinfeksi tidak dapat mengakses file mereka.

Snatch ransomware pertama kali terlihat aktif pada April 2019, tetapi dirilis akhir 2018. Namun, lonjakan file terenkripsi dan catatan tebusan menyebabkan penemuan dan tindak lanjut oleh tim peneliti di Sophos.

Bentuk crypto-virusnya menyerang target profil tinggi, tetapi jenis baru ini, dibuat menggunakan Google Go program, terdiri dari kumpulan alat termasuk pencuri data dan fitur ransomware. Selain itu, ia memiliki Serangan kobalt reverse-shell dan alat lain yang digunakan oleh penguji penetrasi dan administrator sistem.

Catatan: Varian yang ditemukan Sophos hanya dapat berjalan di Windows dalam edisi 32-bit dan 64-bit dari versi 7 hingga 10.

Bagaimana Snatch Ransomware Bekerja

Sebagai virus pengunci file, Snatch ransomware tidak memiliki koneksi dengan strain lain. Namun, pengembangnya merilis sembilan varian ancaman, yang menambahkan ekstensi berbeda setelah data dienkripsi dengan sandi AES.

Triknya adalah me-reboot mesin ke Safe Mode, dan kemudian ransomware membatasi akses ke data Anda dengan mengenkripsi file Anda. Setelah itu, para peretas mencoba memeras uang dari Anda dengan meminta tebusan dalam bentuk Bitcoin sebagai imbalan untuk membuka kunci file Anda dan memberikan kembali akses data.

Ada alasan mengapa trik mereka berhasil. Beberapa perangkat lunak antivirus tidak memulai dalam Safe Mode, dan pengembang menemukan bahwa mereka dapat dengan mudah memodifikasi kunci registri Windows dan hanya mem-boot mesin Anda ke Safe Mode. Jadi ransomware berjalan tanpa terdeteksi oleh perangkat lunak keamanan Anda.

Pertama kali diinstal pada perangkat Anda, itu datang melalui SuperBackupMan, layanan Windows, dan disiapkan tepat sebelum komputer Anda mulai reboot sehingga Anda tidak dapat menghentikannya tepat waktu.

Setelah terinstal, penyerang menggunakan akses admin untuk menjalankan BCDEDIT, alat baris perintah Windows, untuk memaksa komputer Anda segera reboot dalam Safe Mode.

Ini kemudian membuat executable bernama acak di folder %AppData% atau %LocalAppData% Anda, yang akan diluncurkan dan mulai memindai huruf drive komputer Anda untuk file yang akan dienkripsi.

Juga di Guiding Tech

File yang Ditargetkan oleh Snatch Ransomware

Ada ekstensi file tertentu yang dienkripsi, termasuk .doc, .docx, .pdf, .xls, dan banyak lainnya, yang menginfeksi dan mengubah ekstensinya menjadi Snatch sehingga Anda tidak dapat membukanya lagi.

Ransomware meninggalkan catatan file teks Readme_Restore_Files.txt, menuntut apa pun antara satu dan lima Bitcoin dengan imbalan kunci dekripsi, dengan informasi tentang cara berkomunikasi dengan peretas untuk mendapatkan file data Anda kembali.

Setelah ransomware memindai komputer Anda sepenuhnya, ia menggunakan vssadmin.exe, perintah Windows untuk menghapus semua Shadow Volume Copies di dalamnya sehingga Anda tidak dapat memulihkan dan menggunakannya untuk memulihkan file data terenkripsi. Langkah terakhir adalah mengenkripsi file data apa pun pada hard drive Anda.

Saat ini, file yang terinfeksi tidak dapat didekripsi karena sifat canggih dari enkripsi AES yang digunakan. Namun, Anda masih memiliki garis hidup jika komputer Anda terinfeksi dengan memulihkan file Anda dari cadangan terbaru.

Snatch ransomware telah menargetkan pengguna biasa melalui email spam. Tapi hari ini, target utamanya adalah korporasi. Dengan membayar penjahat seperti itu, Anda tidak hanya kehilangan uang dan tidak memiliki jaminan bahwa mereka akan mengirimkan kunci dekripsi kepada Anda, tetapi juga mendorong mereka untuk melanjutkan kejahatan dunia maya mereka.

Jika Anda tidak memiliki cadangan yang diperbarui, tidak banyak lagi yang dapat Anda lakukan selain menunggu hingga pakar keamanan membuat dekripsi ransomware Snatch. Itu bisa memakan waktu lama, tetapi ada cara lain untuk melindungi diri Anda dari serangan semacam itu.

Cara Menghapus Snatch Ransomware Dari Komputer Anda

Salah satu cara terbaik untuk menghapus Snatch ransomware dan malware lainnya adalah menginstal perangkat lunak keamanan antivirus yang baik seperti Malwarebytes atau SpyHunter yang dapat memindai, mendeteksi, dan menghilangkan ancaman. Tidak semua mesin antivirus dapat menangkapnya karena ini adalah malware yang sama sekali baru, jadi ada baiknya untuk memindai menggunakan beberapa program.

Anda dapat melindungi diri sendiri dan perangkat Anda dari serangan ransomware dengan mengambil langkah-langkah sederhana seperti: mengunduh perangkat lunak dari sumber tepercaya, dan hindari membuka lampiran email dari sumber yang tidak tepercaya sumber.

Cara lain Anda dapat melindungi diri sendiri dan organisasi Anda dari Snatch dan jenis ransomware lainnya meliputi:

• Pertahankan sistem operasi yang diperbarui dan terus cadangkan data Anda.
• Lakukan audit kata sandi secara teratur.
• Terapkan perangkat lunak keamanan berlapis-lapis dan komprehensif untuk melindungi semua titik masuk dari serangan ransomware.
• Mengamankan alat akses jarak jauh dan program rentan lainnya karena penyerang Snatch mempekerjakan penjahat lain dengan pengalaman menggunakan cangkang Web atau dapat meretas ke server SQL melalui serangan injeksi.
• Lindungi antarmuka Desktop Jarak Jauh Anda dengan meletakkannya di belakang VPN di jaringan Anda sehingga orang tidak akan mengaksesnya tanpa kredensial VPN.
• Jalankan pemeriksaan rutin dan menyeluruh pada semua perangkat di rumah atau organisasi Anda untuk memastikan perangkat tersebut dilindungi dan dipantau karena Snatch memanfaatkan titik akses dan pijakan tersebut untuk mendapatkan entri.
• Siapkan dan gunakan autentikasi multi-faktor untuk admin mana pun di organisasi Anda sehingga penyerang tidak dapat memaksa kredensial Anda secara paksa.
• Lakukan perburuan ancaman penuh di jaringan Anda untuk mengidentifikasi aktivitas semacam itu sebelum infeksi.

Juga di Guiding Tech

Lindungi Sistem Anda

Snatch ransomware mungkin terdengar hampir mengancam jiwa dalam cara kerjanya melumpuhkan file dan perangkat Anda. Sebelum Anda berpikir untuk membayar tebusan itu, cobalah langkah-langkah di atas untuk menghapus ancaman dan selalu mengambil tindakan pencegahan untuk memastikan ini dan ancaman semacam itu tidak muncul di komputer atau jaringan Anda.

Selanjutnya: Jika Anda mencurigai ponsel Anda terinfeksi ransomware, lihat artikel kami berikutnya untuk mengetahui cara mendeteksi dan menghapusnya.