Cara Menangani Ransomware Ragnar Locker (05.20.24)

Anti-Malware

Ransomware adalah malware yang sangat jahat karena penyerang menuntut korban untuk membayar agar data penting miliknya dibebaskan dari penyanderaan. Ransomware diam-diam menginfeksi perangkat korban, mengenkripsi data penting (termasuk file cadangan), kemudian meninggalkan instruksi tentang berapa banyak uang tebusan yang harus dibayarkan dan bagaimana harus dibayarkan. Setelah semua kerepotan ini, korban tidak memiliki jaminan bahwa penyerang akan benar-benar melepaskan kunci dekripsi untuk membuka kunci file. Dan jika memang demikian, beberapa file mungkin rusak, sehingga pada akhirnya tidak berguna.

Selama bertahun-tahun, penggunaan ransomware semakin populer karena merupakan cara paling langsung bagi peretas untuk mendapatkan uang. Mereka hanya perlu menjatuhkan malware, lalu menunggu pengguna mengirim uang melalui Bitcoin. Menurut data dari Emsisoft, jumlah serangan ransomware pada tahun 2019 meningkat sebesar 41% dibandingkan tahun sebelumnya, mempengaruhi sekitar 1.000 organisasi AS. Cybersecurity Ventures bahkan memperkirakan bahwa ransomware akan menyerang bisnis setiap 11 detik.

Awal tahun ini, Ragnar Locker, jenis malware baru, menyerang Energias de Portugal (EDP), sebuah perusahaan utilitas listrik Portugis, yang berkantor pusat di Lisbon . Para penyerang menuntut 1.580 bitcoin sebagai tebusan, yang setara dengan sekitar $11 juta.

Apakah Ragnar Locker Ransomware itu?

Ragnar Locker adalah jenis malware ransomware yang dibuat tidak hanya untuk mengenkripsi data, tetapi juga untuk mematikan aplikasi yang diinstal, seperti ConnectWise dan Kaseya, yang biasanya digunakan oleh penyedia layanan terkelola dan beberapa layanan Windows. Ragnar Locker mengganti nama file terenkripsi dengan menambahkan ekstensi unik yang terdiri dari kata ragnar diikuti oleh serangkaian angka dan karakter acak. Misalnya, file dengan nama A.jpg akan diganti namanya menjadi A.jpg.ragnar_0DE48AAB.

Setelah mengenkripsi file, kemudian membuat pesan tebusan menggunakan file teks, dengan format nama yang sama seperti dengan contoh di atas. Pesan tebusan dapat diberi nama RGNR_0DE48AAB.txt.

Ransomware ini hanya berjalan di komputer Windows, tetapi belum pasti apakah pembuat malware ini juga merancang Ragnar Locker versi Mac. Biasanya menargetkan proses dan aplikasi yang biasa digunakan oleh penyedia layanan terkelola agar serangan mereka tidak terdeteksi dan dihentikan. Ragnar Locker hanya ditujukan untuk pengguna berbahasa Inggris.

Ragnar Locker ransomware pertama kali terdeteksi sekitar akhir Desember 2019, saat digunakan sebagai bagian dari serangan terhadap jaringan yang disusupi. Menurut pakar keamanan, serangan Ragnar Locker terhadap raksasa energi Eropa adalah serangan yang direncanakan dengan matang dan matang.

Berikut adalah contoh pesan tebusan Ragnar Locker:

Halo* !

*********************

Jika Anda membaca pesan ini, berarti jaringan Anda TERTEKAN dan semua file Anda dan data telah DIENKRIPSI

oleh RAGNAR_LOCKER !

*********************

*********Apa yang terjadi dengan sistem Anda ?* ***********

Jaringan Anda ditembus, semua file dan cadangan Anda terkunci! Jadi mulai sekarang TIDAK ADA YANG BISA MEMBANTU ANDA untuk mendapatkan file Anda kembali, KECUALI KAMI.

Anda bisa google itu, tidak ada KESEMPATAN untuk mendekripsi data tanpa KUNCI RAHASIA kami.

Tapi jangan khawatir! File Anda TIDAK RUSAK atau HILANG, mereka hanya DIUBAH. Anda bisa mendapatkannya KEMBALI segera setelah Anda MEMBAYAR.

Kami hanya mencari UANG, jadi tidak ada kepentingan bagi kami untuk baja atau menghapus informasi Anda, itu hanya BISNIS $-)

NAMUN Anda dapat merusak DATA Anda sendiri jika Anda mencoba DECRYPT oleh perangkat lunak lain, tanpa KUNCI ENKRIPSI KHUSUS KAMI !!!

Selain itu, semua informasi sensitif dan pribadi Anda dikumpulkan dan jika Anda memutuskan untuk TIDAK membayar,

kami akan mengunggahnya untuk dilihat publik!

****

************Bagaimana cara mendapatkan kembali file Anda ?******

Ke dekripsi semua file dan data Anda, Anda harus membayar untuk enkripsi KUNCI :

Dompet BTC untuk pembayaran: *

Jumlah yang harus dibayar (dalam Bitcoin): 25

****

************Berapa lama waktu yang harus Anda bayar?**********

* Anda harus menghubungi kami dalam waktu 2 hari setelah Anda mengetahui enkripsi untuk mendapatkan harga yang lebih baik.

* Harga akan dinaikkan 100% (harga dua kali lipat) setelah 14 Hari jika tidak ada kontak yang dilakukan.

* Kunci akan sepenuhnya dihapus dalam 21 hari jika tidak ada kontak yang dibuat atau tidak ada kesepakatan yang dibuat.

Beberapa informasi sensitif yang dicuri dari server file akan diunggah ke publik atau ke penjual ulang.

****

************Bagaimana jika file tidak dapat dipulihkan ?******

Untuk membuktikan bahwa kami benar-benar dapat mendekripsi data Anda, kami akan mendekripsi salah satu file Anda yang terkunci !

Kirim saja kepada kami dan Anda akan mendapatkannya kembali secara GRATIS.

Harga untuk decryptor didasarkan pada ukuran jaringan, jumlah karyawan, pendapatan tahunan.

Jangan ragu untuk menghubungi kami untuk jumlah BTC yang harus dibayarkan.

****

! JIKA Anda tidak tahu cara mendapatkan bitcoin, kami akan memberi Anda saran cara menukar uang.

!!!!!!!!!!!!!

! INI ADALAH MANUAL SEDERHANA CARA MENDAPATKAN KONTAK DENGAN KAMI!

!!!!!!!!!!!!!

1) Buka situs web resmi TOX messenger ( hxxps://tox.chat/download.html )

2) Unduh dan instal qTOX di PC Anda, pilih platform ( Windows, OS X, Linux, dll.)

3) Buka messenger, klik “Profil Baru” dan buat profil.

4) Klik tombol “Tambah teman” dan cari kontak kami *

5) Untuk identifikasi, kirim ke data dukungan kami dari —RAGNAR RAHASIA—

PENTING ! JIKA karena alasan tertentu Anda TIDAK BISA MENGHUBUNGI kami di qTOX, ini kotak surat cadangan kami ( * ) kirim pesan dengan data dari —RAGNAR RAHASIA—

PERINGATAN!

-Jangan mencoba mendekripsi file dengan perangkat lunak pihak ketiga (akan rusak secara permanen)

-Jangan menginstal ulang OS Anda, ini dapat menyebabkan hilangnya data dan file lengkap tidak dapat didekripsi. TIDAK PERNAH!

-KUNCI RAHASIA Anda untuk dekripsi ada di server kami, tetapi tidak akan disimpan selamanya. JANGAN MEMBUANG WAKTU !

*********************

—RAGNAR RAHASIA—

*********************

Apa Fungsi Loker Ragnar?

Ragnar Locker biasanya dikirimkan melalui alat MSP seperti ConnectWise, di mana penjahat dunia maya menjatuhkan file eksekusi ransomware yang sangat bertarget. Teknik propagasi ini telah digunakan oleh ransomware sebelumnya yang sangat berbahaya, seperti Sodinokibi. Ketika jenis serangan ini terjadi, pembuat ransomware menyusup ke organisasi atau fasilitas melalui koneksi RDP yang tidak aman atau tidak terlindungi dengan baik. Kemudian menggunakan alat untuk mengirim skrip Powershell ke semua titik akhir yang dapat diakses. Skrip kemudian mengunduh muatan melalui Pastebin yang dirancang untuk mengeksekusi ransomware dan mengenkripsi titik akhir. Dalam beberapa kasus, muatan datang dalam bentuk file yang dapat dieksekusi yang diluncurkan sebagai bagian dari serangan berbasis file. Ada juga kasus ketika skrip tambahan diunduh sebagai bagian dari serangan tanpa file sama sekali.

Ragnar Locker secara khusus menargetkan perangkat lunak yang biasa dijalankan oleh penyedia layanan terkelola, termasuk string berikut:

vss
sql
memtas
mepoc
sophos
veeam
cadangan
pulseway
logme
logmein
connectwise
splashtop
kaseya

Ransomware pertama-tama mencuri file target dan mengunggahnya ke server mereka. Yang unik dari Ragnar Locker adalah mereka tidak hanya mengenkripsi file tetapi juga mengancam korban bahwa data akan dirilis ke publik jika uang tebusan belum dibayarkan, seperti halnya dengan EDP. Dengan EDP, penyerang mengancam akan merilis 10 TB data yang dicuri, yang bisa menjadi salah satu kebocoran data terbesar dalam sejarah. Penyerang mengklaim bahwa semua mitra, klien, dan pesaing akan diberitahu tentang pelanggaran dan data mereka yang bocor akan dikirim ke img berita dan media untuk konsumsi publik. Meskipun juru bicara EDP telah mengumumkan bahwa serangan itu tidak berdampak pada layanan listrik dan infrastruktur utilitas, pelanggaran data yang mengancam adalah sesuatu yang mereka khawatirkan.

Menonaktifkan layanan dan menghentikan proses adalah taktik umum yang digunakan oleh malware untuk menonaktifkan program keamanan, sistem pencadangan, database, dan server email. Setelah program ini dihentikan, datanya kemudian dapat dienkripsi.

Saat pertama kali diluncurkan, Ragnar Locker akan memindai preferensi bahasa Windows yang dikonfigurasi. Jika preferensi bahasa adalah bahasa Inggris, malware akan melanjutkan ke langkah berikutnya. Tetapi jika Ragnar Locker mendeteksi bahwa bahasa tersebut ditetapkan sebagai salah satu negara bekas Uni Soviet, malware akan menghentikan proses dan tidak akan mengenkripsi komputer.

Ragnar Locker membahayakan alat keamanan MSP sebelum mereka dapat memblokir ransomware agar tidak dieksekusi. Begitu masuk, malware memulai proses enkripsi. Ia menggunakan kunci RSA-2048 yang disematkan untuk mengenkripsi file penting.

Ragnar Locker tidak mengenkripsi semua file. Ini akan melewati beberapa folder, nama file, dan ekstensi, seperti:

kernel32.dll
Windows
Windows.old
Browser Tor
Internet Explorer
Google
Opera
Perangkat Lunak Opera
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
Semua Pengguna
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr .efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe

Selain menambahkan ekstensi file baru ke file terenkripsi, Ragnar Locker juga menambahkan penanda file 'RAGNAR' di akhir setiap file terenkripsi.

Ragnar Locker kemudian mengirimkan pesan tebusan bernama '.RGNR_[extension].txt' yang berisi rincian jumlah tebusan, alamat pembayaran bitcoin, ID obrolan TOX yang akan digunakan untuk berkomunikasi dengan penyerang, dan alamat email cadangan jika ada masalah dengan TOX. Tidak seperti ransomware lainnya, Ragnar Locker tidak memiliki jumlah tebusan yang tetap. Ini bervariasi sesuai dengan target dan dihitung secara individual. Dalam beberapa laporan, jumlah uang tebusan dapat bervariasi antara $200.000 sampai $600.000. Dalam kasus EDP, tebusan yang diminta adalah 1.580 bitcoin atau $11 juta.

Cara Menghapus Ragnar Locker

Jika komputer Anda tidak beruntung terinfeksi Ragnar Locker, hal pertama yang perlu Anda lakukan adalah memeriksa jika semua file Anda telah dienkripsi. Anda juga perlu memeriksa apakah file cadangan Anda telah dienkripsi juga. Serangan seperti ini menyoroti pentingnya memiliki cadangan data penting Anda karena setidaknya, Anda tidak perlu khawatir kehilangan akses ke file Anda.

Jangan mencoba membayar uang tebusan karena akan sia-sia. Tidak ada jaminan bahwa penyerang akan mengirimkan Anda kunci dekripsi yang benar dan file Anda tidak akan pernah bocor ke publik. Bahkan, sangat mungkin bahwa penyerang akan terus memeras uang dari Anda karena mereka tahu bahwa Anda bersedia membayar.

Yang dapat Anda lakukan adalah menghapus ransomware terlebih dahulu dari komputer Anda sebelum mencoba mendekripsi saya t. Anda dapat menggunakan aplikasi antivirus atau anti-malware untuk memindai komputer dari malware dan mengikuti petunjuk untuk menghapus semua ancaman yang terdeteksi. Selanjutnya, uninstal aplikasi atau ekstensi mencurigakan yang mungkin terkait dengan malware.

Terakhir, cari alat dekripsi yang cocok dengan Ragnar Locker. Ada beberapa decryptors yang telah dirancang untuk file yang dienkripsi oleh ransomware, tetapi Anda harus memeriksa produsen perangkat lunak keamanan Anda terlebih dahulu jika mereka memilikinya. Misalnya, Avast dan Kaspersky memiliki alat dekripsi sendiri yang dapat digunakan pengguna. Berikut adalah daftar alat dekripsi lain yang dapat Anda coba.

Cara Melindungi Diri Anda dari Ragnar Locker

Ransomware bisa sangat merepotkan, terutama jika tidak ada alat dekripsi yang mampu membatalkan enkripsi yang dilakukan oleh malware . Untuk melindungi perangkat Anda dari ransomware, khususnya Ragnar Locker, berikut adalah beberapa tips yang perlu Anda ingat:

Terapkan kebijakan sandi yang kuat, menggunakan autentikasi dua faktor atau multifaktor (MFA) jika memungkinkan. Jika tidak memungkinkan, buat sandi unik dan acak yang akan sulit ditebak.
Pastikan untuk mengunci komputer Anda saat meninggalkan meja Anda. Baik Anda keluar untuk makan siang, istirahat sejenak, atau hanya pergi ke kamar kecil, kunci komputer Anda untuk mencegah akses yang tidak sah.
Buat cadangan data dan rencana pemulihan, terutama untuk informasi penting di komputer Anda. komputer. Simpan informasi paling penting yang disimpan di luar jaringan atau di perangkat eksternal jika memungkinkan. Uji cadangan ini secara teratur untuk memastikan bahwa cadangan berfungsi dengan benar jika terjadi krisis nyata.
Buat sistem Anda diperbarui dan diinstal dengan patch keamanan terbaru. Ransomware biasanya mengeksploitasi kerentanan di sistem Anda, jadi pastikan keamanan perangkat Anda ketat.
Berhati-hatilah terhadap vektor umum phishing, yang merupakan metode distribusi ransomware yang paling umum. Jangan klik tautan acak dan selalu pindai lampiran email sebelum mengunduhnya ke komputer Anda.
Pasang perangkat lunak keamanan tangguh di perangkat Anda dan perbarui database dengan ancaman terbaru.

Video Youtube: Cara Menangani Ransomware Ragnar Locker

05, 2024

Cara Menangani Ransomware Ragnar Locker (05.20.24)

Video Youtube: Cara Menangani Ransomware Ragnar Locker

Artikel

8 Cara Untuk Memperbaiki Overwatch Tanpa Masalah Musik

3 Cara Untuk Memperbaiki Statistik Razer Tidak Bekerja Di WoW

8 Cara Mengatasi Disk yang Anda masukkan tidak dapat dibaca oleh komputer ini Kesalahan pada Mac

5 Game Kartu Terbaik Di Steam

4 Cara Untuk Memperbaiki Karakter Tidak Bisa Transfer Di WoW

Artikel Terbaru

3 Cara Untuk Memperbaiki Fortnite Tidak Dimulai dengan Benar

Razer Naga vs Razer Naga Chroma- Pilihan Lebih Baik

Cara Memperbaiki Discord Black Screen Error pada Windows 10

3 Cara Untuk Memperbaiki Fortnite Restart Komputer Saya

4 Cara Untuk Memperbaiki Unduhan Pembaruan Sangat Lambat Di Overwatch