Bagikan:

JAKARTA - Pakar Kaspersky menemukan serangan Trojan baru, yang beri nama CryWiper. Malware ini adalah penghapus (wiper), dimana file yang dimodifikasi oleh CryWiper tidak dapat dikembalikan ke keadaan semula selamanya. 

Jadi, apabila Anda melihat catatan meminta sebuah tebusan dan file tersebut memiliki ekstensi .CRY, jangan terburu-buru untuk membayar uang tebusan, karena itu akan sia-sia.

Para ahli Kaspersky meyakini bahwa tujuan utama penyerang bukanlah keuntungan finansial, melainkan penghancuran data. File tidak benar-benar dienkripsi sebaliknya, Trojan menimpanya dengan data yang dibuat secara acak.

Apa yang diincar oleh CryWiper

Trojan akan merusak data apa pun termasuk yang tidak penting untuk fungsionalitas sistem operasi. Malware ini tidak akan memengaruhi file dengan ekstensi .exe, .dll, .lnk, .sys atau .msi. Malware berfokus pada database, arsip, dan dokumen pengguna.

Sejauh ini, para ahli Kaspersky hanya melihat serangan menempatkan sasarannya di Rusia. Namun, tidak ada yang bisa menjamin bahwa malware ini tidak akan ditargetkan ke orang lain.

Bagaimana Cara kerja Trojan CryWiper

Selain langsung menimpa isi file dengan sampah, CryWiper juga melakukan hal berikut:

  • Membuat tugas yang memulai ulang penghapusan setiap lima menit menggunakan Penjadwal Tugas (Task Scheduler);
  • Mengirimkan nama komputer yang terinfeksi ke server C&C dan menunggu perintah untuk memulai serangan;
  • Menghentikan proses yang terkait dengan: server database MySQL dan MS SQL, server mail MS Exchange, dan layanan web Direktori Aktif MS
  • Menghapus salinan bayangan file sehingga tidak dapat dipulihkan 
  • Menonaktifkan koneksi ke sistem yang terpengaruh melalui protokol akses jarak jauh RDP (remote desktop protocol).