Apa itu Snatch Ransomware dan Cara Menghapusnya

Sepertinya pengembang crimeware tidak pernah tidur saat pertahanan meningkat. Mereka selalu mencari cara yang berbeda untuk mengasah senjata serangan mereka. Salah satu teknik terbaru adalah strain ransomware yang dapat memaksa a Windows perangkat untuk reboot ke Safe Mode tepat sebelum enkripsi dimulai, bermaksud untuk berkeliling perlindungan endpoint.

Strain khusus ini dikenal sebagai Snatch karena penulisnya, yang menyebut diri mereka sebagai Tim Snatch. Dulu ditemukan oleh para peneliti Sophos Labs, yang menguraikan penemuan mereka bersama dengan wawasan tentang bagaimana geng tersebut masuk ke perusahaan dan entitas lain dalam daftar sasaran mereka.

Kami akan menjelaskan apa ransomware Snatch, bagaimana cara kerjanya, dan bagaimana Anda dapat menghapusnya dari perangkat Anda.

Apa itu Snatch Ransomware

Snatch adalah varian ransomware baru yang kekuatannya dapat dieksekusi Windows perangkat untuk reboot ke Safe Mode bahkan sebelum proses enkripsi dimulai dalam upaya untuk memotong perlindungan endpoint yang sering tidak berjalan dalam mode ini.

Ditemukan oleh para peneliti SophosLabs dan tim Respons Ancaman yang Dikelola oleh Sophos, the snatch ransomware adalah beberapa komponen konstelasi malware sedang digunakan dalam serangkaian serangan yang dirancang dengan hati-hati yang menampilkan pengumpulan data yang luas.

Strain baru ransomware menggunakan metode infeksi unik yang menerapkan enkripsi AES yang canggih sehingga pengguna yang mesinnya terinfeksi tidak dapat mengakses file mereka.

Snatch ransomware pertama kali terlihat aktif pada April 2019, tetapi dirilis akhir 2018. Namun, itu lonjakan file terenkripsi dan catatan tebusan menyebabkan penemuan dan tindak lanjutnya oleh tim peneliti di Sophos.

Bentuk virus kripto-nya menyerang target profil tinggi, tetapi jenis baru ini, dibuat menggunakan Google Go program, terdiri dari kumpulan alat termasuk pencuri data dan fitur ransomware. Plus, ia memiliki Cobalt Strike reverse-shell dan alat-alat lain yang digunakan oleh penguji penetrasi dan administrator sistem.

Note: Varian yang ditemukan Sophos hanya dapat berjalan Windows dalam edisi 32-bit dan 64-bit dari versi 7 hingga 10.

Bagaimana Snatch Ransomware Bekerja

Sebagai virus penguncian file, Snatch ransomware tidak memiliki koneksi dengan strain lain. Namun, pengembangnya merilis sembilan varian ancaman, yang menambahkan ekstensi berbeda setelah data dienkripsi dengan sandi AES.

Caranya adalah dengan me-reboot mesin ke Safe Mode, dan kemudian ransomware membatasi akses ke data Anda dengan mengenkripsi file Anda. Setelah itu, para peretas mencoba memeras uang dari Anda dengan meminta uang tebusan dalam bentuk Bitcoin dengan imbalan membuka kunci file Anda dan memberikan kembali akses data.

Ada alasan mengapa trik mereka berhasil. Beberapa perangkat lunak antivirus tidak memulai dalam Safe Mode, dan pengembang menemukan mereka dapat dengan mudah memodifikasi a Windows kunci registri dan cukup boot mesin Anda ke Safe Mode. Dengan demikian ransomware berjalan tanpa terdeteksi oleh perangkat lunak keamanan Anda.

Pertama kali diinstal pada perangkat Anda, itu datang melalui SuperBackupMan, a Windows layanan, dan mengatur tepat sebelum komputer Anda mulai reboot sehingga Anda tidak dapat menghentikannya tepat waktu.

Setelah diinstal, penyerang menggunakan akses admin untuk menjalankan BCDEDIT, a Windows alat baris perintah, untuk memaksa komputer Anda untuk reboot dalam Safe Mode segera.

Ini kemudian membuat executable bernama acak di folder% AppData% atau% LocalAppData% Anda, yang akan diluncurkan dan mulai memindai huruf drive komputer Anda untuk mencari file yang akan dienkripsi.

File Ditargetkan oleh Snatch Ransomware

Ada ekstensi file spesifik yang dienkripsi, termasuk .doc, .docx, .pdf, .xls, dan banyak lainnya, yang menginfeksi dan mengubah ekstensi mereka menjadi Snatch sehingga Anda tidak dapat membukanya lagi.

Ransomware meninggalkan catatan file teks Readme_Restore_Files.txt, menuntut apa pun antara satu dan lima Bitcoin sebagai ganti kunci dekripsi, dengan informasi tentang cara berkomunikasi dengan peretas untuk mendapatkan kembali file data Anda.

Setelah ransomware memindai komputer Anda sepenuhnya, ia menggunakan vssadmin.exe, a Windows perintah untuk menghapus semua Salinan Volume Shadow di atasnya sehingga Anda tidak dapat memulihkan dan menggunakannya untuk mengembalikan file data yang dienkripsi. Langkah terakhir adalah mengenkripsi file data apa pun pada hard drive Anda.

Saat ini, file yang terinfeksi tidak dapat didekripsi karena sifat canggih enkripsi AES yang digunakan. Namun, Anda masih memiliki garis hidup jika komputer Anda terinfeksi dengan mengembalikan file Anda dari cadangan terbaru.

Snatch ransomware telah menargetkan pengguna biasa melalui email spam. Tetapi hari ini, target utama adalah perusahaan. Dengan membayar penjahat seperti itu, Anda tidak hanya kehilangan uang dan tidak memiliki jaminan bahwa mereka akan mengirim kunci dekripsi kepada Anda, tetapi juga mendorong mereka untuk melanjutkan kejahatan cyber mereka.

Jika Anda tidak memiliki cadangan yang diperbarui, tidak banyak hal lain yang dapat Anda lakukan selain menunggu sampai pakar keamanan membuat dekripsi ransomware Snatch. Itu bisa memakan waktu lama, tetapi ada cara lain untuk melindungi diri dari serangan semacam itu.

Cara Hapus Snatch Ransomware Dari Komputer Anda

Salah satu cara terbaik untuk menghapus Snatch ransomware dan malware lainnya adalah dengan menginstal perangkat lunak keamanan antivirus yang bagus seperti Malwarebytes atau SpyHunter yang dapat memindai, mendeteksi, dan menghilangkan ancaman. Tidak semua mesin antivirus dapat menangkapnya karena ini adalah malware yang sama sekali baru, jadi baik untuk memindai menggunakan beberapa program.

Anda dapat melindungi diri dan perangkat Anda dari serangan ransomware dengan mengambil langkah-langkah sederhana seperti mengunduh perangkat lunak dari sumber tepercaya, dan menghindari membuka lampiran email dari sumber yang tidak terpercaya.

Cara lain Anda dapat melindungi diri sendiri dan organisasi Anda dari Snatch dan jenis ransomware lainnya termasuk:

Mempertahankan sistem operasi yang diperbarui dan terus mencadangkan data Anda. Lakukan audit kata sandi reguler. Terapkan perangkat lunak keamanan berlapis-lapis yang komprehensif untuk melindungi semua titik masuk terhadap serangan ransomware. Menyimpan alat akses jarak jauh dan program rentan lainnya karena penyerang Snatch menyewa penjahat lain dengan pengalaman menggunakan Kerang web atau dapat meretas ke server SQL melalui serangan injeksi. Lindungi antarmuka Remote Desktop Anda dengan meletakkannya di belakang VPN di jaringan Anda sehingga orang tidak akan mengaksesnya tanpa kredensial VPN. Lakukan pemeriksaan rutin dan menyeluruh pada semua perangkat di rumah atau organisasi untuk memastikan mereka dilindungi dan dipantau sebagai Snatch memanfaatkan titik akses dan pijakan tersebut untuk mendapatkan entri. Atur dan gunakan otentikasi multi-faktor untuk admin mana pun di organisasi Anda sehingga penyerang tidak dapat dengan kasar memaksakan kredensial Anda. Lakukan ancaman penuh- berburu di jaringan Anda untuk mengidentifikasi aktivitas semacam itu sebelum infeksi.

Lindungi Sistem Anda

Snatch ransomware mungkin terdengar hampir mengancam nyawa dalam cara kerjanya untuk melumpuhkan file dan perangkat Anda. Sebelum Anda berpikir untuk membayar uang tebusan itu, cobalah langkah-langkah di atas untuk menghapus ancaman dan selalu mengambil langkah-langkah pencegahan untuk memastikan hal ini dan ancaman semacam itu tidak muncul di komputer atau jaringan Anda.

Selanjutnya: Jika Anda mencurigai ponsel Anda terinfeksi ransomware, lihat artikel kami berikutnya untuk mengetahui cara mendeteksi dan menghapusnya.