- Jika perangkat telah terinfeksi ransomware REvil, login otomatis ke Safe Mode memastikan saat reboot.
- Dengan perubahan terbaru yang diterapkan dalam kode berbahaya, pengguna tidak perlu melakukan tindakan apa pun.
- Perlindungan terbaik terhadap jenis serangan ransomware ini tetap menjadi antivirus yang andal.
- Laporan menunjukkan bahwa sebagian besar alat antivirus dapat mendeteksi serangan ransomware REvil bahkan setelah modifikasi.
Penelitian keamanan terbaru mengungkapkan bahwa REvil/Sodinokibi ransomware telah menyempurnakan taktik serangannya untuk memastikan akses ke sistem operasi korban.
Perubahan yang diterapkan mengubah kata sandi login sistem pengguna dan memaksa sistem reboot hanya untuk mengizinkan malware mengenkripsi file. Sistem operasi Windows yang lebih lama dan yang lebih baru dapat terpengaruh.
Hasil penelitian tersebut dipublikasikan oleh peneliti R3MRUN pada bukunya Akun Twitter.
Bagaimana REvil ransomware bertindak untuk memaksa masuk Safe Mode?
Sebelum perubahan, ransomware akan menggunakan argumen baris perintah -smode untuk me-reboot perangkat ke
Mode aman, tetapi pengguna perlu mengakses lingkungan tersebut secara manual.Ini adalah metode serangan siber yang licik dan baru, mengingat Safe Mode seharusnya…aman dan bahkan direkomendasikan sebagai lingkungan yang aman untuk pembersihan malware jika terjadi kerusakan sistem.
Terlebih lagi, saat dalam Safe Mode, proses tidak terganggu oleh perangkat lunak keamanan atau server.
Untuk menghindari kecurigaan, kode ransomware telah dimodifikasi dengan mudah. Sekarang dengan menggunakan argumen -smode, ransomware juga mengubah kata sandi pengguna menjadi Dtrump4ever, pesan ditampilkan.
Akibatnya, file berbahaya memodifikasi beberapa entri Registry dan Windows secara otomatis reboot dengan kredensial baru.
Kode yang digunakan diyakini sebagai berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon=1
DefaultUserName=[nama_akun]
DefaultPassword=DTrump4ever
Peneliti juga menunjukkan dua sumber VirusTotal dengan dan tanpa sampel serangan yang dimodifikasi. Cara paling pasti untuk melindungi sistem Anda dari upaya semacam itu tetap menjadi antivirus yang andal.
⇒ Dapatkan Keamanan Internet ESET
ESET adalah salah satu dari 70 alat keamanan yang diuji untuk menemukan ransomware REvil (dimodifikasi atau tidak); 59 solusi mendeteksinya.
Jadi, pastikan untuk menginstal antivirus yang andal dan mengaktifkan perlindungan waktu nyata untuk sistem Anda. Seperti biasa, kami juga menyarankan agar Anda menghindari situs web atau sumber online yang mencurigakan.
