Ransomware White Rabbit: Difference between revisions
| Line 50: | Line 50: | ||
*<code>-l</code>: file log | *<code>-l</code>: file log | ||
*<code>-t</code>: waktu mulai malware | *<code>-t</code>: waktu mulai malware | ||
==Rutinitas ransomware== | |||
Rutinitas ransomware itu sendiri tidak rumit. Seperti banyak keluarga ransomware modern, White Rabbit menggunakan pemerasan ganda dan mengancam targetnya bahwa data curian mereka akan dipublikasikan atau dijual, seperti yang terlihat dalam catatan tebusan mereka. | |||
Ransomware membuat catatan untuk setiap file yang dienkripsi. Setiap catatan menyandang nama file terenkripsi dan ditambahkan dengan “.scrypt.txt.” Sebelum rutinitas ransomware, malware juga menghentikan beberapa proses dan layanan, terutama yang terkait dengan antivirus. | |||
Malware kemudian mencoba mengenkripsi file (jika argumen -f tidak diberikan) di drive tetap, dapat dilepas, dan jaringan, serta sumber daya. Itu juga mencoba untuk melewati jalur dan direktori berikut untuk menghindari crash sistem dan menghancurkan catatannya sendiri: | |||
*<nowiki>*.scrypt.txt</nowiki> | |||
*<nowiki>*.scrypt</nowiki> | |||
*<nowiki>c:\windows\*</nowiki> | |||
*<nowiki>*:\sysvol\*</nowiki> | |||
*<nowiki>*:\netlogon\*</nowiki> | |||
*<nowiki>c:\filesource\*</nowiki> | |||
*<nowiki>*.exe</nowiki> | |||
*<nowiki>*.dll</nowiki> | |||
*<nowiki>*\desktop.ini</nowiki> | |||
*<nowiki>*:\windows\*</nowiki> | |||
*<nowiki>c:\programdata\*</nowiki> | |||
*<nowiki>*:\programfiles\*</nowiki> | |||
*<nowiki>*:\program files (x86)\*</nowiki> | |||
*<nowiki>*:\program files (x64)\*</nowiki> | |||
*<nowiki>*.lnk</nowiki> | |||
*<nowiki>*.iso</nowiki> | |||
*<nowiki>*.msi</nowiki> | |||
*<nowiki>*.sys</nowiki> | |||
*<nowiki>*.inf</nowiki> | |||
*<nowiki>%User Temp%\*</nowiki> | |||
*<nowiki>*\thumbs.db</nowiki> | |||
==Pencegahan== | ==Pencegahan== | ||