Halo GT! Kebun binatang dari semua jenis virus berkembang setiap tahun, manfaat dari imajinasi adalah tidak menduduki pembuatnya. Tentu saja, antivirus berhasil mengatasi sejumlah malware yang paling umum, apalagi, bahkan versi gratis mereka atau yang dibangun ke dalam OS itu sendiri. Kami mempelajari cara menangani ransomware populer paling tidak (di situs web perusahaan anti-virus terkenal ada bagian dengan layanan untuk mendekripsi atau menghasilkan kode jika Anda tahu dompet atau email yang penulis malware minta untuk mentransfer dana).
Virus biasa meninggalkan jejak pada mesin yang terinfeksi - beberapa file yang dapat dieksekusi yang mencurigakan, file perpustakaan, atau hanya sedikit kode berbahaya yang dapat dideteksi oleh antivirus atau admin yang tepat. Menemukan dan mengidentifikasi jejak tersebut membantu mengidentifikasi virus, yang berarti menghapusnya dan meminimalkan konsekuensinya.
Tetapi oposisi terhadap pedang dan perisai adalah hal yang abadi, dan malware komputer tidak terbatas pada mereka yang meninggalkan jejak di drive. Memang, jika virus terletak dan hanya bertindak di dalam RAM, tanpa menyentuh hard drive atau SSD, maka tidak akan meninggalkan jejaknya.
Pada tahun 2014, ada serangkaian berita tentang apa yang disebut malware RAM, tetapi kemudian itu milik sekelompok perangkat yang terkena dampak agak sempit - ke terminal pembayaran.
Data transaksi dianggap dilindungi, karena disimpan dalam bentuk terenkripsi di server sistem pembayaran. Tetapi ada periode waktu yang sangat singkat di mana informasi untuk otorisasi pembayaran disimpan dalam teks biasa. Selain itu, disimpan dalam RAM terminal pembayaran.
Tentu saja, bagian ini tampaknya terlalu enak untuk dilewati oleh peretas, dan malware muncul, mengumpulkan informasi dari terminal RAM POS - nomor kartu, alamat, kode keamanan, dan nama pengguna.
Dan kemudian seseorang memutuskan untuk melangkah lebih jauh, mengingat bahwa komputer juga memiliki RAM.
Hanya RAM
Februari 2017, Kaspersky Lab merilis laporan yang menyatakan bahwa malware seperti itu menginfeksi komputer di perusahaan telekomunikasi, bank dan lembaga pemerintah di 40 negara.
Bagaimana infeksi mesin dalam hal ini:
- malware mendaftarkan dirinya secara langsung dalam RAM, melewati hard drive
- karena itu, selama pemeriksaan keamanan tidak dapat dideteksi
- untuk mendaftarkan malware dalam memori, para penyerang menggunakan alat administrasi yang populer - PowerShell, Mimikatz, Metasploit
- Untuk transfer data, situs yang dibuat pada domain nasional negara-negara seperti Gabon, Republik Afrika Tengah dan Mali digunakan. Domain mereka dicirikan karena mereka tidak menyimpan informasi WHOIS tentang siapa yang memiliki domain tertentu setelah berakhirnya periode pembaruan. Yaitu, minus lainnya adalah satu peluang untuk melacak penyerang.
Penjahat dunia maya berhasil mengumpulkan data tentang login dan kata sandi administrator sistem, yang memungkinkan untuk mengelola host yang terinfeksi di masa mendatang. Dan jelas bahwa dengan kemampuan ini untuk mengendalikan komputer yang terinfeksi, Anda dapat melakukan banyak hal bukan tindakan yang paling sah, tetapi arah utama serangan tersebut adalah "memerah susu" ATM.
Sulit untuk menemukan virus seperti itu, karena dalam bentuk yang biasa mereka benar-benar tidak meninggalkan jejak. Tidak ada aplikasi yang diinstal. Tidak ada file terpisah yang tersebar di folder yang berbeda, termasuk sistem atau yang tersembunyi.
Tapi di mana mereka meninggalkan jejak di suatu tempat?
Tentu saja, jika virus tidak meninggalkan jejak pada drive, tidak ada gunanya mencari mereka. Lalu apa? Itu benar - registri, kesedihan memori dan aktivitas jaringan. Penting baginya untuk entah bagaimana mendaftarkan dirinya sendiri dalam memori (dan sedemikian rupa agar tetap bisa beroperasi bahkan setelah me-reboot mesin), dan kemudian entah bagaimana mentransfer data ke server penyerang.
Pakar Kaspersky Lab menganalisis dengan hati-hati kesedihan memori dan entri registri dari mesin yang terinfeksi, dan menggunakan Mimikatz dan Meterpreter, mereka dapat merekonstruksi serangan itu.
Cuplikan kode yang diunduh menggunakan Meterpreter dari adobeupdates.sytes [.] NetSebuah skrip yang dihasilkan oleh kerangka kerja Metasploit.
Mengalokasikan jumlah memori yang diperlukan, menggunakan WinAPI dan memuat utilitas Meterpreter langsung ke dalam RAM.Apakah perlu untuk takut
Di satu sisi - tentu saja ya. Virus, apa pun itu, tidak ditujukan untuk membuat komputer Anda bekerja lebih nyaman.
Di sisi lain, itu tidak sekuat (namun tidak begitu kuat) seperti virus biasa dan ransomware yang sama. Kalau saja karena saat ini tujuan utama serangan tersebut adalah lembaga keuangan, dan bukan pengguna biasa.
Tapi siapa yang tahu seberapa sering malware semacam itu akan dibuat dan digunakan dalam waktu dekat.
Kami mengingatkan Anda bahwa musim semi adalah kesempatan yang bagus untuk diperbarui tidak hanya pada selebaran di pohon, tetapi juga pada unit sistem di bawah meja Anda. Khusus untuk ini, Kingston memiliki promosi di toko mitra. Misalnya, dalam jaringan DNS hingga 15 April, Anda dapat membeli RAM SO-DIMM Kingston dengan diskon, detailnya ada di
sini . Di Yulmart, suatu
tindakan berlangsung hingga 18 April dan ada harga khusus untuk modul memori Kingston dan HyperX untuk komputer dan laptop menggunakan kode promosi
KINGMEM . Dan di toko Citylink hingga 7 April,
diskon berlaku untuk beberapa jenis RAM sekaligus, dan ada juga yang penting untuk diingat untuk memasukkan kode promosi -
DDR3HX . Jadi masuk akal untuk terburu-buru mencari memori baru dan meningkatkan keuntungan.
Untuk informasi lebih lanjut tentang produk Kingston dan HyperX, kunjungi situs
web resmi
perusahaan .