Waspada Trojan Baru Penghancur File ‘CryWiper’
Uzone.id- Jelang akhir tahun 2022, pakar siber Kaspersky menemukan sebuah trojan baru bernama ‘CryWiper’. Seperti namanya, trojan ini merupakan malware penghapus file.
Berbeda dengan tujuan malware yang ingin mendapat keuntungan finansial, Kaspersky meyakini kalau tujuan utama dari trojan Ini adalah untuk menghancurkan data.
Malware CryWiper akan memodifikasi file dan menambahkan ekstensi “.CRY”. Tak lupa, sang pelaku akan melampirkan alamat dompet bitcoin hingga kontak email untuk memudahkan korban mengirim tebusan agar file-nya kembali.
Namun, perlu dicatat kalau file-file ini sudah hancur secara permanen dan tak bisa dikembalikan lagi. Pasalnya, malware ini adalah penghapus (wiper), dimana file yang dimodifikasi oleh CryWiper tidak dapat dikembalikan ke keadaan semula–selamanya.
Baca juga:Drone Emprit Soal Deepfake: Kengerian AI hingga Ancaman Tipuan di 2023
“Jadi, apabila Anda melihat catatan meminta sebuah tebusan dan file tersebut memiliki ekstensi .CRY baru, jangan terburu-buru untuk membayar uang tebusan, karena itu akan sia-sia,” ujar pihak Kaspersky.
Yang diincar oleh trojan ini sebenarnya adalah untuk merusak data apa pun yang tidak penting untuk fungsionalitas sistem operasi.
Sebenarnya, CryWiper tidak akan memengaruhi file dengan ekstensi .exe, .dll, .lnk, .sys atau .msi, dan mengabaikan beberapa folder sistem di direktori C:\Windows. Malware ini berfokus pada database, arsip, dan dokumen pengguna.
Sejauh ini, para ahli Kaspersky hanya melihat serangan menempatkan sasarannya di Rusia.
Trojan CryWiper ini dapat melakukan beberapa hal termasuk langsung menimpa isi file dengan sampah, dan membuat tugas yang memulai ulang penghapusan setiap lima menit menggunakan Penjadwal Tugas (Task Scheduler).
Baca juga: Begini Tips Kenali Video Hasil Rekayasa Deepfake
Trojan ini juga bisa mengirimkan nama komputer yang terinfeksi ke server C&C dan menunggu perintah untuk memulai serangan, menghentikan proses yang terkait dengan server database MySQL dan MS SQL, server mail MS Exchange, dan layanan web Direktori Aktif MS (jika tidak, akses ke beberapa file akan diblokir dan tidak mungkin merusaknya).
CryWiper juga punya kemampuan untuk menghapus salinan bayangan file sehingga tidak dapat dipulihkan (dan hanya pada drive C: untuk alasan tertentu), serta menonaktifkan koneksi ke sistem yang terpengaruh melalui protokol akses jarak jauh RDP (remote desktop protocol).
Ada beberapa hal yang bisa dilakukan perusahaan dan korporasi untuk menjaga file-file mereka dari serangan ini.
Pertama, selalu berhati-hati mengontrol koneksi akses jarak jauh ke infrastruktur, seperti larangan koneksi dari jaringan publik, dan menggunakan kata sandi unik yang kuat dilengkapi autentikasi dua faktor.
Selanjutnya, perbarui perangkat lunak penting secara tepat waktu, tingkatkan kesadaran keamanan karyawan dan terapkan solusi keamanan canggih untuk melindungi perangkat kerja.