Penghapusan Ransomware: Pulihkan file Anda dan bersihkan sistem yang terinfeksi

Apa itu Ransomware?

Ransomware adalah malware yang mengenkripsi data pengguna dan membuatnya tidak dapat diakses oleh korban. Seorang penyerang menuntut uang tebusan sebagai imbalan untuk mendekripsi data. Pembayaran biasanya diperlukan dalam mata uang kripto dan biayanya bisa berkisar dari ratusan hingga ribuan dolar. Bahkan jika uang tebusan dibayarkan, tidak ada jaminan bahwa data akan dipulihkan.

Ransomware telah menjadi lebih canggih dari waktu ke waktu. Sementara ransomware asli terbatas pada enkripsi titik akhir tunggal, varian saat ini memiliki mekanisme distribusi yang canggih. Ransomware modern mengenkripsi kodenya sendiri untuk mempersulit rekayasa balik, dan dapat menggunakan metode enkripsi offline, menghilangkan kebutuhan untuk berkomunikasi dengan Command and Control Center (C&C).

Apa saja tanda-tanda Anda terinfeksi ransomware?

Tanda paling jelas dari serangan ransomware adalah jika sistem menampilkan jendela catatan ransomware seperti di bawah ini.

Jika tidak ada pemberitahuan tebusan, berikut adalah beberapa cara cepat untuk mengetahui apakah sistem Anda terpengaruh oleh ransomware:

  • Pindai sistem dengan antivirus – antivirus dapat mendeteksi jenis ransomware yang diketahui jika ransomware tidak melewati antivirus atau serangan tidak diketahui (zero day).
  • Periksa ekstensi file – sistem operasi Anda mungkin menyembunyikan ekstensi file secara default. Tunjukkan pada mereka dan lihat file Anda. Jika ekstensi file umum seperti “.docx” atau “.png” telah berubah menjadi kombinasi huruf acak, ini berarti infeksi ransomware.
  • Berganti nama file – jika Anda menemukan file dengan nama yang berbeda dari nama asli yang Anda berikan, itu mungkin berarti bahwa ransomware telah mengenkripsi data.
  • Peningkatan aktivitas CPU / disk – ransomware dapat menyebabkan peningkatan pemanfaatan sumber daya sistem. Matikan aplikasi dan proses normal untuk melihat apakah penggunaan lebih tinggi dari biasanya.
  • Komunikasi jaringan yang tidak normal – Sebagian besar jenis ransomware berinteraksi dengan server C&C, dan Anda dapat mendeteksi lalu lintas jaringan yang tidak normal ini menggunakan alat seperti WireShark.
  • File terenkripsi – Terakhir, jika Anda mencoba membuka file dan menemukan bahwa file tersebut dienkripsi, itu adalah tanda yang jelas dari ransomware.

Penghapusan ransomware: Langkah segera

Jika Anda telah terinfeksi malware, berikut adalah beberapa langkah cepat yang dapat Anda ambil untuk menghapus malware dan mencegah kerusakan lebih lanjut:

  1. Isolasi sistem yang terpengaruh – Segera putuskan semua mesin yang menunjukkan tanda-tanda infeksi dari jaringan wifi dan kabel untuk mencegah penyebaran malware di jaringan atau komunikasi dengan sistem kontrol dan manajemen.
  2. Identifikasi infeksi – Anda dapat menggunakan alat gratis seperti Cyber ​​​​Sheriff , yang disediakan oleh Europol dan McAfee, untuk mengidentifikasi jenis malware yang Anda terinfeksi .
  3. Beri tahu pihak berwenang – penting untuk melaporkan serangan ransomware Anda kepada pihak berwenang untuk memberikan informasi lebih lanjut kepada pihak penegak hukum tentang serangan tersebut dan untuk membantu mereka mengambil tindakan terhadap penyerang. Di AS, Anda dapat mengajukan melalui Pusat Pengaduan Kejahatan Internet FBI .

Haruskah Anda membayar uang tebusan?

Sebagian besar pakar keamanan dan lembaga penegak hukum, termasuk FBI, menyarankan untuk tidak membayar uang tebusan jika terjadi serangan ransomware. Ada tiga alasan utama:

  1. Bahkan jika Anda membayar uang tebusan, tidak ada jaminan bahwa penjahat dunia maya akan mendekripsi data Anda
  2. Beberapa jenis ransomware sebenarnya tidak dapat mendekripsi data, bahkan jika uang tebusan dibayarkan
  3. Dengan membayar uang tebusan, Anda akan mendukung serangan ransomware di masa mendatang terhadap organisasi Anda dan orang lain

Apa saja opsi pemulihan serangan ransomware?

Pertama, cari tahu jenis ransomware apa yang telah menginfeksi sistem Anda.

Ransomware kunci layar

Jenis malware ini memblokir pengguna dari komputer dan terkadang mengklaim bahwa komputer telah dikunci oleh pihak berwenang. Pilihan lain adalah doxware, yang mengancam untuk membagikan informasi publik pengguna kepada publik jika uang tebusan tidak dibayarkan.

Jenis ransomware ini tidak terlalu parah dan Anda biasanya dapat membersihkannya dengan perangkat lunak antivirus.

Filecoder / enkripsi ransomware

Ini adalah jenis ransomware yang lebih serius yang mengenkripsi file di komputer Anda secara permanen. Apakah Anda dapat menghapus jenis ransomware ini tergantung pada jenis malware tertentu yang menginfeksi sistem Anda.

Anda biasanya memiliki tiga cara untuk memulihkan dari serangan ransomware terenkripsi:

  • Dekripsi data Anda – jika alat dekripsi tersedia untuk ransomware yang telah menginfeksi sistem Anda, ini adalah opsi terbaik. Proyek No More Ransom menawarkan sejumlah alat dekripsi yang dapat membantu Anda mendapatkan kembali akses ke file Anda. Sayangnya, tidak semua algoritma enkripsi ransomware dapat didekripsi menggunakan alat yang tersedia. Alat ini juga tidak mencegah ransomware mengaktifkan malware sekunder atau menghapus data.
  • Hapus dan pulihkan – dengan opsi ini Anda akan kehilangan data terenkripsi. Kami harap Anda memiliki cadangan dari mana Anda dapat memulihkan file Anda. Jika demikian, Anda dapat menghapus ransomware dari sistem Anda hanya dengan menyetel ulang perangkat ke default pabrik, memformat hard disk, atau menghapus instance penyimpanan jika ada di cloud. Setelah Anda yakin bahwa semua data dan jejak ransomware hilang, Anda dapat memulihkan sistem Anda dari cadangan.
  • Negosiasi – Negosiasi biasanya merupakan pilihan terakhir untuk bisnis yang tidak memiliki cara lain untuk memulihkan akses yang hilang dan tidak disarankan. Namun, jika Anda memutuskan untuk membayar ransomware, Anda harus tahu bahwa biaya tebusan biasanya dapat dinegosiasikan. Anda dapat bernegosiasi dengan penyerang menggunakan informasi kontak dalam laporan ransomware. Tebusan biasanya dibebankan dalam bitcoin. Mudah-mudahan – bahkan jika tidak ada jaminan – setelah membayar uang tebusan, penyerang akan mengizinkan Anda untuk mendekripsi file Anda.

Membersihkan ransomware dari sistem Anda

Langkah-langkah yang diperlukan untuk menghapus encoder file / perangkat lunak enkripsi bergantung pada apakah Anda telah mencadangkan file Anda sebelum enkripsi.

Mersihkan ransomware jika Anda telah mencadangkan data Anda

Jika Anda memiliki cadangan aman yang dapat digunakan untuk memulihkan file Anda, ikuti langkah-langkah berikut untuk membersihkan infeksi ransomware Anda.

 

  1. Sebelum melanjutkan, pastikan bahwa cadangan Anda aman dan tidak terinfeksi ransomware.
  2. Verifikasi bahwa ransomware malware telah dihapus – jika tidak, ia akan terus mengenkripsi file setelah memulihkan dari cadangan.
  3. Anda dapat menggunakan salah satu alat gratis ini untuk memindai komputer Anda dan menghapus malware: Kaspersky , McAfee atau AVG .
  4. Pulihkan file dari cadangan.

Bersihkan ransomware jika Anda tidak memiliki cadangan

Jika Anda tidak memiliki cadangan file yang aman atau jika cadangan telah dirusak oleh ransomware, ikuti langkah-langkah berikut:

  1. Identifikasi jenis ransomware menggunakan Crypto Sheriff dari proyek No More Ransomware. Anda harus memasukkan alamat email, akun bitcoin, atau alamat web yang ditampilkan dalam laporan ransomware.
  2. Hapus malware dari sistem Anda seperti yang dijelaskan di atas.
  3. Cobalah untuk mendekripsi data Anda. Sekarang setelah Anda mengetahui jenis ransomware apa yang telah Anda infeksi, cari decryptor dalam daftar decryptors No More Ransomware atau HowToRemove.Guide .
  4. Jika Anda menemukan decryptor, dapatkan kuncinya dan gunakan untuk mendekripsi file. Ini mungkin memakan waktu lama tergantung pada jenis ransomware, jumlah data dan sumber daya sistem yang tersedia.
  5. Jika alat dekripsi tidak ada, hubungi profesional keamanan dan mintalah untuk memulihkan data.

Perlindungan ransomware All-in-One dengan Cynet

Cynet 360 adalah platform Deteksi dan Respons Ancaman Tingkat Lanjut yang memberikan perlindungan terhadap ancaman, termasuk ransomware, serangan zero-day , ancaman persisten lanjutan (APT), dan kuda Troya yang dapat menghindari tindakan keamanan berbasis tanda tangan.

Cynet menyediakan pendekatan berlapis-lapis untuk mencegah ransomware menjalankan dan mengenkripsi data Anda:

  • Pra-unduh – menggunakan beberapa mekanisme malware anti-eksploitasi dan anti-file yang biasanya berfungsi sebagai cara untuk mengirimkan data ransomware, yang pada awalnya mencegahnya mencapai titik akhir.
  • Pencegahan Pra-Jalankan – Menggunakan analisis statis berbasis mesin untuk mengidentifikasi pola ransomware dalam file biner sebelum dijalankan.
  • Saat runtime – menggunakan analisis perilaku untuk mengidentifikasi perilaku seperti ransomware dan menghentikan proses jika menunjukkan perilaku seperti itu.
  • Threat Intelligence – menggunakan sumber daya langsung yang berisi lebih dari 30 saluran informasi ancaman untuk mengidentifikasi ransomware yang diketahui.
  • Deteksi fuzzy – menggunakan mekanisme deteksi hashing fuzzy untuk mendeteksi varian otomatis dari ransomware yang diketahui.
  • Sandbox – meluncurkan file karantina yang diunduh dan memblokir eksekusi setelah mengidentifikasi perilaku ransomware serupa.
  • File Umpan – Menyebarkan file data ke host umpan dan menggunakan mekanisme untuk memastikan bahwa file tersebut dienkripsi terlebih dahulu jika terjadi ransomware. Setelah Cynet mendeteksi bahwa file-file ini sedang dienkripsi, itu membunuh proses ransomware.
  • Pemblokiran Propagasi – Mengidentifikasi tanda tangan aktivitas jaringan yang dihasilkan oleh host ketika ransomware secara otomatis menyebar dan mengisolasi host dari jaringan.

About administrator

Check Also

Cara Membersihkan Komputer yang Terinfeksi Virus Windows 10

Windows 10, OS Microsoft andalan, sedang dibangun kembali untuk serangan generasi berikutnya ini. Ini masih Windows, …