|
|
Malware ShrinkLocker kunci Windows BitLocker Indonesia sudah terditeksi
Security | 5 June 2024
Sistem Windows memiliki perlindungan dengan BitLocker.
Fitur tersebut dapat dipilih untuk diaktifkan atau tidak oleh pemilik computer
Fungsi untuk melindungi volume drive hanya dapat di akses oleh pemilik.
Malware ShrinkLocker atau lebih tepat sebagai Ransomware. Mampu mengaktifkan BitLocker di computer Windows tanpa ijin.
Mengunci data agar tidak dapat di akses oleh pemiliknya.
Volume drive yang berisi data dirubah dan dikecilkan hanya 100MB.
Jenis ransomware baru menciptakan volume boot baru
Kaspersky menjuluki ransomware ShrinkLocker karena begitu menyerang, akan menyusutkan partisi non-boot yang tersedia sebesar 100 MB dan membuat volume boot utama baru dengan ukuran yang sama.
Kemudian menggunakan BitLocker, fitur enkripsi disk lengkap dari Microsoft Windows, untuk mengenkripsi file pada titik akhir target.
Sejauh ini serangan ShrinkLocker menyerang lembaga-lembaga pemerintah, dan perusahaan-perusahaan di bidang manufaktur dan farmasi.
ShrinkLocker bukanlah varian ransomware pertama yang menggunakan BitLocker untuk mengunci sistem.
Tahun 2022, rumah sakit di Belgia diserang jenis ransomware menggunakan BitLocker untuk mengenkripsi 100TB data di 40 server
Produsen dan distributor Miratorg Holding, mengalami nasib serupa.
Namun ShrinkLocker juga hadir “dengan fitur yang belum pernah dilaporkan sebelumnya untuk memaksimalkan kerusakan serangan,” kata Kaspersky (23 Mei 2024).
Serangan ShrinkLocker dibuat dengan program VBscript, dapat menyerang di OS Windows lama atau baru, termasuk Windows Server 2008.
Mengingat sistem BitLocker Windows hanya tersedia di OS Windows Pro, Enterprise, Education, dan Ultimate.
Di OS Windows 11 24H2, Microsoft malah mengaktifkan BitLocker secara default.
Malware ShrinkLocker dapat menditeksi tipe OS untuk mengubah setting Boot, dan mengunci semua drive dengan Bitlocker.
Malware tersebut tidak menyembunyikan diri, dan menyimpan VBscript di folder.
C:\ProgramData\Microsoft\Windows\Templates\ sebagai Disk.vbs
Di dalam script program, terlihat mencari tipe OS Windows. Bila cocok maka malware baru aktif.
Antara lain, enkripsi tidak memberikan catatan tebusan, ini merupakan praktik standar.
Sebaliknya, meninggalkan jejak dengan label partisi boot baru sebagai alamat email, seakan mengundang korban untuk mencoba berkomunikasi dengan cara tersebut.
Selain itu, setelah enkripsi (mengunci storage) berhasil dilakukan oleh ransomware.
Program berbahaya tersebut akan mengamankan ke server mereka, lalu menghapus semua proteksi BitLocker.
Dan sistem Windows hanya menampilkan pesan error - There are no more BitLocker recovery options on your PC
Sehingga target tidak mempunyai pilihan untuk memulihkan kunci enkripsi BitLocker.
Satu-satunya yang memegang kunci adalah si penyerang.
Sejauh ini, pelaku ancaman yang tidak disebutkan namanya menyusupi sistem organisasi manufaktur baja dan vaksin di Meksiko, dan terditeksi di Indonesia, dan Yordania.
Pencegahan
Sistem computer yang mengaktifkan BitLocker harus menambah dengan kunci yang kuat.
Melakukan backup unbtuk keamanan data.
Fitur tersebut dapat dipilih untuk diaktifkan atau tidak oleh pemilik computer
Fungsi untuk melindungi volume drive hanya dapat di akses oleh pemilik.
Malware ShrinkLocker atau lebih tepat sebagai Ransomware. Mampu mengaktifkan BitLocker di computer Windows tanpa ijin.
Mengunci data agar tidak dapat di akses oleh pemiliknya.
Volume drive yang berisi data dirubah dan dikecilkan hanya 100MB.
Jenis ransomware baru menciptakan volume boot baru
Kaspersky menjuluki ransomware ShrinkLocker karena begitu menyerang, akan menyusutkan partisi non-boot yang tersedia sebesar 100 MB dan membuat volume boot utama baru dengan ukuran yang sama.
Kemudian menggunakan BitLocker, fitur enkripsi disk lengkap dari Microsoft Windows, untuk mengenkripsi file pada titik akhir target.
Sejauh ini serangan ShrinkLocker menyerang lembaga-lembaga pemerintah, dan perusahaan-perusahaan di bidang manufaktur dan farmasi.
ShrinkLocker bukanlah varian ransomware pertama yang menggunakan BitLocker untuk mengunci sistem.
Tahun 2022, rumah sakit di Belgia diserang jenis ransomware menggunakan BitLocker untuk mengenkripsi 100TB data di 40 server
Produsen dan distributor Miratorg Holding, mengalami nasib serupa.
Namun ShrinkLocker juga hadir “dengan fitur yang belum pernah dilaporkan sebelumnya untuk memaksimalkan kerusakan serangan,” kata Kaspersky (23 Mei 2024).
Serangan ShrinkLocker dibuat dengan program VBscript, dapat menyerang di OS Windows lama atau baru, termasuk Windows Server 2008.
Mengingat sistem BitLocker Windows hanya tersedia di OS Windows Pro, Enterprise, Education, dan Ultimate.
Di OS Windows 11 24H2, Microsoft malah mengaktifkan BitLocker secara default.
Malware ShrinkLocker dapat menditeksi tipe OS untuk mengubah setting Boot, dan mengunci semua drive dengan Bitlocker.
Malware tersebut tidak menyembunyikan diri, dan menyimpan VBscript di folder.
C:\ProgramData\Microsoft\Windows\Templates\ sebagai Disk.vbs
Di dalam script program, terlihat mencari tipe OS Windows. Bila cocok maka malware baru aktif.
Antara lain, enkripsi tidak memberikan catatan tebusan, ini merupakan praktik standar.
Sebaliknya, meninggalkan jejak dengan label partisi boot baru sebagai alamat email, seakan mengundang korban untuk mencoba berkomunikasi dengan cara tersebut.
Selain itu, setelah enkripsi (mengunci storage) berhasil dilakukan oleh ransomware.
Program berbahaya tersebut akan mengamankan ke server mereka, lalu menghapus semua proteksi BitLocker.
Dan sistem Windows hanya menampilkan pesan error - There are no more BitLocker recovery options on your PC
Sehingga target tidak mempunyai pilihan untuk memulihkan kunci enkripsi BitLocker.
Satu-satunya yang memegang kunci adalah si penyerang.
Sejauh ini, pelaku ancaman yang tidak disebutkan namanya menyusupi sistem organisasi manufaktur baja dan vaksin di Meksiko, dan terditeksi di Indonesia, dan Yordania.
Pencegahan
Sistem computer yang mengaktifkan BitLocker harus menambah dengan kunci yang kuat.
Melakukan backup unbtuk keamanan data.
Artikel Lain
Malware Rafel RAT menyusup seperti aplikasi resmi atau aplikasi Mod. Mengambil alih smartphone, dan otentifikasi 2 faktor. Sementara tidak terditeksi PlayProtect. Smartphone dapat di remote dan ijin Admin. Target akhir Ransomware mengunci ponsel. Indonesia masuk grup ke 3 yang terditeksi. Jangan tertipu malware
Malware Pandoraspear menyusup di file APK gratis untuk hiburan dan firmware Android TV, juga disebut menyerang IoT. Malware Pandoraspear telah mencapai 170 ribu perangkat aktif, sebagian di Brasil. Grup peretas dapat merubah link HOST di perangkat.
Penguna perangkat Asus WIFI Router model lama ada baiknya memeriksa update Firmware, mengunakan password WIFI lebih baik. Malware TheMoon dapat mencari keretenanan Router, menjadi Bot, membuat sebagai Proxy server untuk bisnis mereka.
Kunci kartu kamar hotel tidak seaman yang kita kira. Kunci pintu hotel mengunakan kode RFID, mirip RFID KTP. Nomor kunci dicatat pengelola hotel, dan memberi akses kamar, sampai semua layanan. Tapi kode RFID terlalu sederhana, berdampak bagi kunci Dormakaba yang paling umum digunakan.
Link yang disebar dengan Chrome Update Android. Sebaiknya tidak di click, walau tampilan sangat mirip dengan update biasa. Penguna ponsel Android tertipu aplikasi palsu update Chrome, meminta ijin SMS Permission. Yang di download adalah Malware MoqHao, mencuri data pribadi.
Jangan sembarangan download, terlebih program player video. Infeksi malware membuat computer sebagai proxy atau ProxyNation. Kabar telah terinfeksi 400.000 computer. Kemungkinan malware lolos dari pemeriksaan Antivirus. Diketahui mengunakan nama file terkait DigitalPulse.
User sempat terkejut dengan lokasi yang dibagikan pada postingan Instagram. Karena lokasi keberadaan foto diambil masuk sangat akurat. Masalah bukan di Instagram, tapi penguna tidak tahu bagaimana menonaktifkan Tag lokasi, dan lupa menonaktifkan.
Sekitar 155 aplikasi palsu, terkait ke layanan SMS Premium. Disebut UltimaSMS, user yang mendownload aplikasi akan diminta nomor telepon. Membawa ponsel Android mereka ke layanan SMS premium. Sebagian aplikasi hanya versi copy dari aplikasi lain. Biaya SMS mencapai 40 dollar.Satu trojan menyerang perangkat Android , disebut PowerOffHijack. Ketika
smartphone di off, dan layar terlihat off sebenarnya tidak off.
Smartphone tetap berjalan seperti biasa. Munculnya animasi smartphone
sedang off, lalu Trojan mulai bekerja dengan hal yang tidak biasa.
Ganti antena USB WIFI MT7610 sinyal lebih kuat
Install Android TV di computer notebook
Trend