![McDonald's Bocorkan Desain iPhone 8 & Rahasia Tanggal Rilis](/f/37c8e5ec6d5e53d7023e488f1553cc0c.png?width=100&height=100)
Karena ancaman dan pelanggaran keamanan meningkat dari hari ke hari, ransomware baru "Zenis" ditemukan. Itu ditemukan oleh MalwareHunterTeam minggu ini. Distribusi ransomware Zenis masih belum diketahui, tetapi banyak korban sudah diserang.
Zenis tidak hanya mengenkripsi file Anda, tetapi juga menghapus dan menghapus file cadangan Anda.
Ketika penemu menemukan plot pertama Zenis, aktor menggunakan metode enkripsi khusus untuk mengenkripsi file. MalwareHunterTeam masih mencari solusi untuk serangan tersebut.
Mari kita lihat bagaimana ransomware Zenis ini bekerja dan digunakan untuk mengenkripsi file dan menghapus cadangan.
Baca juga: 5 Alat Perlindungan Ransomware Terbaik Untuk Windows
Seperti yang dikatakan sebelumnya, penelitian masih tentang bagaimana ransomware ini didistribusikan. Dengan sampel serangan dan skenario saat ini, sepertinya itu dapat didistribusikan melalui Layanan Desktop Jarak Jauh (RDS).
Layanan desktop jarak jauh adalah bagian dari Windows Server 2008. Layanan ini memungkinkan pengguna untuk mengakses desktop lain secara virtual. Artinya kita bisa menggunakan sistem lain dengan menggunakan sistem utama melalui RDS.
Zenis menggunakan pemeriksaan dua langkah untuk enkripsi. Pemeriksaan pertama adalah untuk eksekusi file dan yang kedua adalah untuk memeriksa apakah nilai registri ada.
Dan jika registry HKEY_CURRENT_USER\SOFTWARE\ZenisService “Active” tidak ada atau file bernama iis_agent32.exe juga tidak tersedia, maka proses akan dihentikan dan tidak akan dapat mengenkripsi sistem.
Jika Zenis lolos pemeriksaan 2 langkah, proses akan dimulai dan sistem akan mendapatkan catatan tebusan untuk pembayaran melalui email atau file terenkripsi.
Setelah mengirimkan catatan tebusan pada sistem Anda, itu mulai memberikan perintah yang diberikan di bawah ini untuk menghapus salinan volume dan akan menonaktifkan perbaikan startup diikuti dengan membersihkan log peristiwa.
Setelah perintah diberikan, Zenis akan menghentikan beberapa proses di sistem Anda yang meliputi:
Segera setelah sistem menjadi kompatibel menurut Zenis, ia mulai mengenkripsi file yang ada di sistem. Ini akan memindai driver sistem dan akan mencari ekstensi tertentu untuk enkripsi. Menurut peneliti, ia menggunakan metode enkripsi AES dengan menggunakan ekstensi file. Beberapa ekstensi file yang digunakan Zenis untuk enkripsi adalah:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, dll.
Setelah enkripsi, format file dari file terenkripsi akan diubah menjadi Zenis-[2 karakter acak].[12 karakter acak]. Format ini akan disimpan di akhir file.
Jika cadangan file dikaitkan dengan file yang dienkripsi, Zenis akan menimpa file tersebut tiga kali dan akan menghapusnya, sehingga pengguna tidak dapat memulihkannya. Ada daftar ekstensi khusus yang ditargetkan untuk dihapus oleh aktor yang mencakup:
.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm, dll.
Dalam proses enkripsi, itu juga akan menghasilkan file catatan tebusan bernama 'Zenis-Instructions.html' meminta tebusan sebagai imbalan atas file yang dienkripsi. File ini menyatakan kontak generator ransomware untuk mendapatkan file kembali.
Harus baca: Semua Tentang Spider Ransomware
Jika Anda merasa ini bermanfaat, beri tahu kami. Beri kami tanggapan Anda di kotak komentar di bawah.