Operasi ransomware REvil telah menambahkan kemampuan baru untuk mengenkripsi file dalam ‘Windows Safe Mode’ yang kemungkinan besar bisa menghindari deteksi anti virus dan memiliki kesuksesan yang lebih besar saat mengenkripsi file.
Windows Safe Mode adalah mode permulaan khusus yang memungkinkan pengguna menjalankan tugas administratif dan diagnostik pada sistem operasi.
Mode ini hanya bisa memuat software dan driver yang diperlukan agar sistem operasi dapat bekerja.
Selain itu, program apa pun yang diinstal pada Windows yang dikonfigurasi untuk memulai secara otomatis tidak akan mulai dalam Safe Mode kecuali autorun mereka dikonfigurasi dengan cara tertentu.
Salah satu cara untuk membuat autorun di Windows adalah dengan membuat entri dengan kunci Registry berikut:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Tombol ‘Run’ akan meluncurkan program setiap kali kita masuk, sedangkan tombol ‘RunOnce’ akan meluncurkan program hanya sekali dan kemudian menghapus entri dari Registry.
REvil Sebagai Ransomware Safe Mode
Dalam sampel baru REvil ransomware yang ditemukan oleh MalwareHunterTeam, smode command-line baru ditambahkan, memaksa komputer untuk melakukan boot ulang ke Safe Mode sebelum mengenkripsi perangkat.
Untuk melakukan hal tersebut, REvil akan menjalankan perintah berikut dan memaksa computer untuk melakukan boot ke Safe Mode dengan jaringan ketika Windows restart.
Kemudian membuat autorun ‘RunOnce’ dengan nama ‘*franceisshit’ yang menjalankan ‘bcdedit/deletevalue {current} safeboot’ setelah pengguna masuk ke Safe Mode.
Akhirnya, ransomware melakukan restart paksa Windows yang tidak dapat diganggu oleh pengguna.
Tepat sebelum proses keluar, kita akan menjumpai autorun RunOnce tambahan bernama ‘AstraZeneca,‘ yang kemungkinan data tersebut merupakan data pertimbangan Prancis tentang penggunaan vaksin.
Kemudian, autorun ini akan diluncurkan kembali oleh REvil ransomware tanpa -smode argument saat pengguna berikutnya masuk, setelah perangkat di-boot ulang.
Penting untuk diingat bahwa kedua entri ‘RunOnce’ ini akan dijalankan setelah masuk ke Safe Mode dan secara otomatis akan dihapus oleh Windows.
Saat reboot, perangkat akan memulai Safe Mode With Networking dan pengguna akan diminta untuk masuk ke Windows.
Setelah mereka masuk, REvil ransomware akan dijalankan tanpa -smode argument sehingga enkripsi file akan berjalan pada perangkat.
Windows juga akan menjalankan perintah ‘bcdedit/deletevalue {current} safeboot’ yang dikonfigurasi oleh kunci Registry ‘*AstraZeneca’ sehingga mesin dapat melakukan boot ulang ke mode normal saat ransomware selesai.
Saat REvil mengenkripsi file, kita akan menemukan layar Safe Mode yang kosong, tetapi kita masih bisa menggunakan Ctrl+Alt+Delete untuk meluncurkan Windows Task Manager.
Dari sana, kita dapat melihat eksekusi yang dapat dijalankan.
Saat ransomware dijalankan, pengguna akan dicegah untuk meluncurkan program apa pun melalui Task Manager sampai enkripsi perangkat selesai.
Setelah perangkat dienkripsi, sisa urutan boot berlanjut dan desktop akan ditampilkan dengan catatan tebusan dan file terenkripsi.
Bukan Ransomware Biasa
Operasi Safe Mode baru REvil ini beda dari yang lain, karena mengharuskan kita untuk masuk ke perangkat setelah mereka memulai ulang ke Safe Mode.
Selain itu, setelah masuk ke Safe Mode, kita akan disajikan dengan layar kosong dan hard drive berat karena ransomware mengenkripsi perangkat.
Perilaku ini dapat menyebabkan pengguna langsung curiga dan melakukan hibernasi atau mematikan komputer agar aman.
Untuk alasan ini, ada kemungkinan bahwa penyerang secara manual menjalankan perintah Safe Mode baru terhadap komputer tertentu, seperti mesin atau server virtual, yang ingin mereka enkripsi tanpa masalah.
Terlepas dari alasannya, metode serangan baru lainnya yang perlu diwaspadai oleh keamanan profesional, serta tim IT karena geng ransomware terus mengembangkan taktik mereka.
REvil bukanlah satu-satunya ransomware Safe Mode.
Di tahun 2019, ransomware lain yang dikenal sebagai ‘Snatch’ juga menambahkan kemampuan untuk mengenkripsi perangkat dalam Safe Mode menggunakan layanan Windows.
Menurut Bitdefender, commands yang digunakan saat awal/sebagai sumber executable untuk melakukan enkripsi saat Safe Mode akan terjadi waktu di Normal Mode.
Bitdefender mendeteksinya dengan nama: DeepScan:Generic.Ransom.Sodinokibi.174E9E76
Kami menganjurkan menggunakan Bitdefender Gravityzone Elite yang sudah memiliki HyperDetect yang memiliki lapisan pertahanan dalam fase pra-eksekusi, dengan machine learning lokal dan heuristics lanjutan yang dilatih untuk menemukan alat peretasan, eksploitasi serta teknik penyamaran malware untuk memblokir ancaman canggih sebelum eksekusi.
Selain itu, HyperDetect juga bisa mendeteksi teknik pengiriman dan situs yang menghosting alat eksploitasi dengan memblokir traffic web yang mencurigakan.
HyperDetect memungkinkan administrator keamanan menyesuaikan pertahanan untuk mengatasi risiko spesifik yang mungkin dihadapi.
Dengan opsi “report only”, administrator keamanan dapat menjalankan dan memantau kebijakan pertahanan baru sebelum meluncurkannya.
Tidak hanya itu, HyperDetect juga bisa memblokir pada tingkat normal atau bebas sambil terus melaporkan pada tingkat agresif secara otomatis dan memperlihatkan indikator awal penyusupan.
Bitdefender Gravityzone Elite juga mempunyai Ransomware Mitigation, fitur baru yang memantau aktivitas mencurigakan, membuat salinan yang aman dari file yang mulai dienkripsi, dan bisa memulihkannya kembali setelah terkena serangan ransomware.
Bitdefender Ransomware Mitigation berbeda dari yang lain karena tidak dapat dirusak dan tidak bergantung pada Volume Shadow Copy Service yang sering dihapus oleh ransomware tingkat lanjut.
Recent Comments