Ransomware Kasp adalah varian crypto-malware yang termasuk dalam salah satu keluarga ransomware paling terkemuka .Infeksi mulai menyebar sekitar bulan Desember 2018, dan keberhasilan strain tersebut mendorong pengembangnya untuk memperluas operasi mereka dan merilis sub-varian secara teratur.
Ekstensi file .Kasp adalah ekstensi file yang digunakan oleh versi baru dari STOP ransomware untuk menandai file yang telah dienkripsi. Ransomware Kasp adalah malware yang dibuat untuk mengenkripsi file korban, kemudian meminta tebusan untuk mendekripsinya.
Untungnya, ada Alat Dekripsi File Kasp gratis yang disebut STOP Djvu Decryptor yang dapat mendekripsi file terenkripsi dalam beberapa kasus.
Selain decryptor ini, ada beberapa metode lain yang dapat membantu memulihkan konten file yang dienkripsi. Baca selengkapnya tentang Alat Dekripsi File Kasp, serta cara menghapus ransomware Kasp, cara memulihkan file .Kasp, dan cara melindungi komputer dari ransomware di bawah ini.
Bagaimana Ransomeware Kasp Menyebar
Kasp ransomware adalah versi baru dari STOP (Djvu) ransomware. Menurut peneliti keamanan, versi ini tidak jauh berbeda dengan versi ransomware STOP sebelumnya, seperti Geno dan Boop, yang ditemukan sebelumnya.
Ransomware Kasp disebarkan oleh situs web yang menawarkan untuk mengunduh freeware, generator kunci, aktivator, game Crack, torrent, dan sebagainya.
Setelah eksekusi, Kasp membuat folder di direktori sistem Windows di mana ia menempatkan salinannya sendiri dan mengubah beberapa pengaturan Windows sehingga itu dimulai setiap kali komputer dihidupkan ulang atau dihidupkan.
Virus mengumpulkan informasi tentang komputer korban dan kemudian mencoba untuk membuat koneksi dengan server perintahnya (C&C).
Jika sambungan telah dibuat, maka ia mengirimkan informasi tentang komputer yang terinfeksi ke server, dan sebagai tanggapan menerima kunci enkripsi (yang disebut 'kunci online') dan perintah tambahan serta malware yang harus dijalankan di komputer korban.
Jika virus tidak dapat membuat sambungan dengan server perintahnya, maka virus menggunakan kunci tetap (yang disebut 'kunci offline').
Ransomware Kasp mengenkripsi file menggunakan algoritme enkripsi yang kuat dan kunci ('kunci offline' atau 'kunci online', seperti yang dijelaskan di atas).
Virus mencoba mengenkripsi file sebanyak mungkin, untuk ini virus hanya mengenkripsi 154kb pertama dari konten setiap file dan dengan demikian secara signifikan mempercepat proses enkripsi. Kasp memiliki kemampuan untuk mengenkripsi file pada semua drive yang terhubung ke komputer: hard drive internal, flash disk USB, penyimpanan jaringan, dan sebagainya.
Ini melewati tanpa enkripsi: file yang terletak di direktori sistem Windows, file dengan ekstensi .ini, .bat, .dll, .lnk, .sys dan file dengan nama '_readme.txt'. Sisa file yang ada di komputer korban dapat dienkripsi. Misalnya, jenis file berikut mungkin menjadi target serangan ransomware:
svg, .fos, .xdb, .raw, .ptx, .sis, .xls, .blob, .xlsm, .zdb, .wp7, .xdl, .sid, .bkf, .xxx, .raf, .zdc, .avi, .x3f, .wire, .mpqge, .tax, .ysp, .wmd, .wp5, .slm, .crt, .lrf, .wmv, .wbd, .dxg, .xll, .odm, .wn, .wpd, .wpe, .wsd, .xy3, .t12, .wot, .zw, .wp4, .wpb, .xyw, .wotreplay, .pst, .mlx, .asset, .qdf, .xwp, .jpe, .forge, .xbdoc, .pkpass, .vdf, .xlsx, .cdr, .qic, .pptm, .pak, .lvl, .pem, .dbf, .hvpl, .p7c, .itm, .tor, .mdbackup, .map, .jpeg, .flv, .big, .sidd, .rb, .layout, .der, .w3x, .mp4, .bay, .wbc, .srw, .odb, .3ds, .kdc, .snx, .vfs0, .wbk, .wsh, .wps, .wpg, .wps, .1st, .odt, .wpl, .accdb, .pdd, .ods, .zip, .py, .ws, .eps, .xmind, .psd, .wb2, .mcmeta, .dba, .ncf, .bc7, .pptx, .db0, .ltx, .mrwref, .wma, .dcr, .gho, .wbz, .apk, .png, .xlsb, .bkp, .rim, .rtf, .ibank, .das, .cas, .wmo, .m2, .itl, .xld, .wdb, .dng, .webdoc, .wsc, .upk, .m4a, .xlsx, .sum, .css, .re4, .desc, .wbm, .psk, .pdf, .xls, .xlk, .bar, .ztmp, .wp, .cr2, .webp, .xlgc, .hkdb, .sidn, .dmp, .dwg, .wpt, .vcf, .wpw, .syncdb, .fsh, .3dm, .menu, .wdp, .erf, .vtf, .doc, .xml, .docm, .litemod, .z3d, .icxs, .crw, .xar, .iwd, .js, .mddata, .yal, .jpg, .rofl, .dazip, .itdb, .r3d, .0, .mdb, .xpm, .zip, .ntl, .wm, .xbplate, .d3dbsp, .p12, .1, .gdb, .kf, .esm, .cer, .rw2, .cfr, .arch00, wallet, .z, .wgz, .sie, .rwl, .p7b, .x, .ybk, .wri, .bik, .sr2, .2bp, .wpa, .hplg, .zi, .wma, .odc, .rgss3a, .docx, .7z, .m3u, .x3f, .srf, .zif, .ppt, .iwi, .3fr, .fpk, .wmf, .wpd, .sav, .hkx, .ai, .csv, .pfx, .sb, .x3d, .vpk, .txt, .wbmp, .kdb, .zabw, .t13, .nrw, .wp6, .rar, .indd, .odp, .bsa, .sql, .wav, .xx, .arw, .pef
Kasp mengenkripsi file demi file. Setiap file yang telah dienkripsi akan diganti namanya, ekstensi .kasp akan ditambahkan di akhir namanya. Jadi, ini menandai semua file yang dienkripsi. Di setiap direktori yang setidaknya ada satu file terenkripsi, virus menempatkan file bernama '_readme.txt'. File tersebut berisi pesan dari penulis Kasp. Contoh konten file ini diberikan di bawah ini.
Images Source: (pcrisk. com)
Cara menghapus Kasp ransomware, Recovery Data, Decrypt file .kasp
Peneliti keamanan mengkonfirmasi kata-kata penulis ransomware Kasp. Semua file dengan ekstensi '.kasp' dienkripsi sehingga tidak dapat dibaca dan digunakan. Satu-satunya cara untuk mendekripsi mereka adalah dengan menggunakan kunci dan dekripsi.
Untungnya, ada kabar baik. Seperti yang telah kami laporkan di atas, virus Kasp termasuk dalam keluarga ransomware STOP, yang berarti Anda dapat menggunakan Alat Dekripsi File Kasp yang disebut "STOP Djvu decryptor" yang dibuat oleh Emsisoft untuk mendekripsi file terenkripsi secara gratis.
Meskipun decryptor tidak membantu, ada beberapa cara alternatif yang dapat membantu memulihkan konten file yang dienkripsi.
Bagaimana menghapus virus ransomware Kasp
Sebelum Anda mulai mendekripsi atau memulihkan file .kasp, Anda perlu menghapus Kasp ransomware dan entri mulai otomatisnya. Ini harus dilakukan karena jika tidak, ransomware dapat mengenkripsi ulang file yang dipulihkan.
Anda dapat menghentikan ransomware agar tidak berfungsi, karena ini tidak sulit untuk dilakukan.
Hentikan proses ransomware Kasp
Tekan Tombol CTRL, ALT, DEL .Secara Bersamaan
Images Source: (digitalcitizen.life) Klik Task Manager. Pilih tab “Processes”, cari sesuatu yang mencurigakan yaitu Kasp ransomware lalu klik kanan dan pilih opsi “End Task” atau “End Process”.
Images Source: (myantispyware .com)
Tidaklah sulit untuk mendeteksi proses yang terkait dengan ransomware Kasp. Saat mencari proses berbahaya, perhatikan ikon proses dan namanya.
Paling sering, ransomware ini memiliki nama proses dalam format berikut: 4-characters.tmp.exe atau 4-characters.exe. Misalnya: 7533.tmp.exe, A4b1.exe, CD15.tmp.exe, 19b2.exe. Jika Anda tidak menemukan proses dengan nama yang mirip dalam daftar proses, kemungkinan besar ransomware Kasp telah selesai bekerja.
Namun perlu diingat, jika Anda tidak menghapus entri autostart ransomware, seperti yang ditunjukkan di bawah ini, dan tidak menghapus file-nya, maka setelah beberapa saat dapat mulai lagi, dan jika menemukan file yang tidak dienkripsi, segera enkripsi.
Nonaktifkan Start-Up ransomware Kasp
Images Source: (myantispyware .com)
Pilih tab "Start-Up", cari sesuatu yang mirip dengan yang ditunjukkan pada contoh di bawah ini, klik kanan dan pilih Disable.
Hapus Task ransomware Kasp
Images Source: (myantispyware .com) Ketik "Task Manager" di bilah pencarian. Klik Start Up di hasil pencarian. Klik "Perpustakaan Penjadwal Tugas" di panel kiri. Di panel kanan, klik kanan ke "Time Trigger Task" dan pilih Hapus.
Hapus File ransomware Kasp
Images Source: (myantispyware .com) Jalankan Task Manager dan pilih tab "Start-Up". Klik kanan ke entri Start-Up ransomware Kasp dan pilih Buka Lokasi File seperti yang ditunjukkan di bawah ini.
Direktori yang berisi satu file akan terbuka di depan Anda, file ini adalah ransomware Kasp. Itu perlu dihapus. Jika Anda mencoba untuk segera menghapusnya, maka Anda tidak akan berhasil, karena file ini dilindungi dari penghapusan.
Images Source: (myantispyware .com) Untuk menghapus file ini, Anda perlu melakukan hal berikut. Klik kanan pada file tersebut, pilih Properties. Di jendela yang terbuka, pilih tab Keamanan. Selanjutnya, klik tombol Advanced di bawah ini. Sebuah jendela akan terbuka seperti yang ditunjukkan pada contoh berikut.
Klik Disable inheritance. Di kotak dialog Disable inheritance yang terbuka, pilih item pertama (Ubah izin yang inheritance…) seperti yang ditunjukkan di bawah ini.
Images Source: (myantispyware .com)
Dalam daftar entri Izin, pilih "Deny Everyone", klik tombol Hapus, lalu OK. Tutup jendela properti file. Anda sekarang harus dapat menghapus File ransomware Kasp. Klik kanan pada file dan pilih Hapus.
| NAME | Djvu |
|---|
| CATEGORY | Ransomware |
|---|
| APPENDIXES | .djvu, .djvus, .djvuu, .udjvu, .uudjvu, .djvuq, .djvur, .pdff, .tro, .tfude, .tfudeq, .tfudet, .adobe, .adobee, .blower, .promorad, .promock, .bufas, .dotmap, .sarut, .verasto, .seto, .peta, .karl, .kvag, .nesa, .mado, . jope, .nopsk, .opqz, .mpaj, .lalo, .lezp, .qewe, .mpal., .sqpc, .koti, .covm, .pezi, .zipe, .nlah, .usam, .tabe, .moba, .pykw, .zida, .maas, .repl, .kuus, .erif, .kook, .nile, .oonn, .vari, .boop, .geno, .kasp, .ogdo, .npph, .kolz, .copa, .lyli, .moss, .foqe, .mmpa, .efji, .nypg, etc. |
|---|
| RANSOM MESSAGE | _openme.txt, _readme.txt files appear on the desktop after the file encryption process. These ransom notes contain message about the encryption and further details |
|---|
| CONTACT EMAIL EXAMPLES | - helpshadow@india.com;
- helpshadow@firemail.cc;
- restoredjvu@india.com;
- restoredjvu@firemail.cc;
- pdfhelp@india.com;
- pdfhelp@firemail.cc;
- vengisto@firemail.cc;
- vengisto@india.com
- gorentos@bitmessage.ch;
- helpdatarestore@firemail.cc;
- helpmanager@mail.ch;
- gerentoshelp@firemail.cc
- restoremanager@firemail.cc
|
|---|
| ABOUT THE RANSOM | Crooks offer a 50% discount for the price if the victims contact them in 72 hours. However, this is created to fake trust between criminals and victims |
|---|
| SYSTEM MODIFICATION | The virus also deletes shadow volume copies, modifies windows registry, starts/stops various processes, creates scheduled tasks, etc. |
|---|
| DISTRIBUTION TECHNIQUES | Rogue email attachments, cracks, and keygens, adware bundles. In most cases, this ransomware family distributes its versions via torrent sites and services using infected files placed in software crack packages (cracked software, Video games, and so on) |
|---|
| VIRUS REMOVAL | Djvu ransomware termination requires anti-malware tools that can detect the threat and have updated databases of malware. This is the most important step because you cannot recover files on the insecure system |
|---|
| DECRYPTABLE? | Some versions are decryptable. You can try this decryption tool to check if your versions are older or use the offline IDs. In other cases, threat affects files in a more significant way and files are not decryptable |
|---|
| REPAIR PROCESS | Reimage program is required to fight malicious files and fix virus damage completely |
|---|
