👨🏿‍🏫 🛢️ 💆🏾 Cara mengurangi risiko yang terkait dengan ransomware ransomware 🎦 👶🏿 👭

Saat ini, ketika pekerjaan jarak jauh menjadi hal yang biasa, dan beban spesialis keamanan informasi, terutama di bidang perawatan kesehatan dan industri penting lainnya, tidak pernah setinggi ini, kegiatan kelompok peretas yang mengelola aplikasi kriptografi tidak melemah.

Sejumlah kelompok peretasan, yang dalam beberapa bulan menembus berbagai jaringan dan mengumpulkan "kekuatan", mengaktifkan lusinan salinan aplikasi ransomware mereka pada paruh pertama April. Serangan dilanda oleh fasilitas medis, perusahaan penagihan layanan kesehatan, produsen, perusahaan transportasi, agen pemerintah, dan pengembang perangkat lunak pelatihan. Ini menunjukkan bahwa, meskipun krisis global, kelompok peretasan seperti itu mengabaikan fungsi layanan kritis. Namun, perusahaan dari daerah lain juga diserang, sehingga organisasi perlu memberi perhatian khusus pada tanda-tanda kompromi.

Dalam waktu dua minggu dari pekerjaan cryptographers, jumlah serangan dengan pemerasan sedikit meningkat. Namun, setelah penelitian yang dilakukan oleh para ahli Microsoft, serta hasil investigasi insiden lain yang dilakukan oleh tim DART (Microsoft Detection and Response Team), ternyata banyak kasus kompromi, yang memberikan kemungkinan serangan, terjadi bahkan lebih awal. Menggunakan teknik khas serangan menggunakan aplikasi ransomware yang dikontrol manusia , penyerang berkompromi dengan jaringan target selama beberapa bulan terakhir dan menunggu kesempatan untuk memonetisasi hasilnya dengan menyebarkan malware pada saat yang paling tepat.

Banyak dari serangan ini dimulai dengan penelitian tentang perangkat rentan yang dapat diakses dari Internet. Dalam beberapa kasus, dengan bantuan brute force, server RDP dikompromikan. Berbagai macam alat digunakan selama serangan, tetapi semuanya menggunakan teknik yang sama yang tipikal untuk serangan menggunakan aplikasi ransomware yang dikelola manusia: pencurian kredensial dan "perpindahan lateral", setelah itu para penyerang menggunakan alat-alat sesuai keinginan mereka. Karena pengenalan aplikasi ransomware terjadi pada tahap akhir serangan, pembela HAM harus fokus pada menemukan jejak penyusup yang mencuri informasi akuntansi, serta tanda-tanda "perpindahan lateral".

Pada artikel ini kita akan berbicara tentang hasil analisis kampanye tersebut menggunakan aplikasi ransomware.

Kandungan:

Kami telah menambahkan sejumlah detail teknis, termasuk panduan untuk mendeteksi serangan dan rekomendasi tentang prioritas tindakan keamanan informasi.

Sistem yang rentan dan tidak diawasi dapat diakses dari Internet dan membuatnya mudah untuk melakukan serangan berbasis manusia

Meskipun alat pemerasan baru digunakan dalam serangan baru-baru ini, banyak serangan menggunakan infrastruktur yang tersisa dari kampanye sebelumnya. Mereka juga menggunakan teknik yang terkenal untuk serangan lain menggunakan ransomware yang digerakkan manusia.

Tidak seperti serangan malware yang dikirim melalui email, yang biasanya terjadi jauh lebih cepat, dalam waktu satu jam setelah penetrasi awal, serangan April mirip dengan serangan 2019 menggunakan Doppelpaymer. Kemudian penyerang mendapatkan akses ke jaringan target terlebih dahulu. Kemudian mereka menunggu beberapa bulan, memilih saat yang tepat untuk menggunakan aplikasi ransomware.

Dalam serangan baru-baru ini, sistem yang dapat diakses dari Internet dan memiliki kelemahan berikut digunakan untuk menembus jaringan target:

Remote Desktop Protocol (RDP) (MFA).
, (, Windows Server 2003 Windows Server 2008). .
-, IIS, , .
Citrix Application Delivery Controller (ADC) CVE-2019-19781.
Pulse Secure VPN CVE-2019-11510.

Untuk mencegah serangan seperti itu, sangat penting untuk menerapkan tambalan keamanan ke sistem yang dapat diakses dari Internet. Perhatikan juga: meskipun para ahli Microsoft belum mengamati ini, informasi yang terakumulasi menunjukkan bahwa pada akhirnya, penyerang dapat mengambil keuntungan dari kerentanan ini: CVE-2019-0604 , CVE-2020-0688 , CVE-2020-10189 .

Seperti dalam banyak kasus penetrasi, penjahat cyber mencuri kredensial, menggunakan "offset lateral" menggunakan alat-alat populer seperti Mimikatz dan Cobalt Strike, dan terlibat dalam intelijen jaringan dan ekstraksi data. Operator malware memperoleh akses ke akun dengan hak administrator, dan dalam hal ini mereka siap untuk melakukan tindakan yang lebih merusak. Dalam jaringan di mana penyerang menginstal perangkat lunak mereka, mereka sengaja mempertahankan keberadaan mereka di beberapa titik akhir, berniat untuk memulai kegiatan mereka lagi setelah tebusan diterima atau sistem diinstal ulang. Meskipun hanya beberapa kelompok peretasan yang diketahui melalui penjualan data yang dikumpulkan, hampir semua dari mereka melihat dan mengekstraksi data selama serangan, bahkan jika mereka belum mengiklankan atau menjual informasi yang dicuri.

Seperti dalam semua serangan menggunakan ransomware yang dikendalikan manusia, dalam kasus yang dijelaskan, aktivitas penyerang tersebar di jaringan, termasuk email, titik akhir, aplikasi, dan banyak lagi. Karena bahkan mungkin sulit bagi para ahli untuk sepenuhnya menyingkirkan penjahat cyber dalam jaringan yang dikompromikan, sangat penting untuk menambal sistem rentan yang dapat diakses dari Internet dan memperkenalkan pembatasan untuk mengurangi risiko.

Perusahaan pemerasan Motley

Bab ini menjelaskan berbagai jenis serangan dan keluarga ransomware, tetapi serangan yang telah kita diskusikan mengikuti satu pola populer, dengan sedikit variasi. Serangan dikembangkan dengan cara yang serupa, umumnya menggunakan teknik yang sama. Dan pilihan program ransomware tertentu pada akhir serangan bergantung sepenuhnya pada selera penyerang.

RobbinHood Ransomware

Operator ransomware RobbinHood telah menarik perhatian karena penggunaan driver yang rentan untuk menonaktifkan perangkat lunak keamanan pada tahap akhir serangan. Namun, seperti dalam banyak serangan serupa, mereka mulai dengan kekuatan kasar untuk RDP pada sumber daya yang tidak aman. Akibatnya, penyerang memperoleh kredensial hak istimewa tinggi, terutama dari akun admin lokal dengan kata sandi umum atau umum, serta akun layanan dengan hak administrator domain. Operator RobbinHood, serta operator Ryuk dan grup hack lain yang tidak diputar, meninggalkan akun lokal dan Active Directory baru untuk mendapatkan akses ke jaringan lagi setelah menghapus alat mereka.

Bootloader Vatet

Penyerang sering mengubah infrastruktur, metode, dan alat mereka untuk menghindari ketenaran, yang dapat menarik perhatian lembaga penegak hukum atau peneliti di bidang keamanan informasi. Seringkali, peretas berpegang pada alat mereka, menunggu perusahaan keamanan informasi untuk mempertimbangkan artefak yang sesuai tidak aktif untuk menarik perhatian kurang. Vatet adalah loader untuk kerangka Cobalt Strike, yang digunakan dalam serangan pada November 2018, dan sekali lagi muncul dalam peristiwa baru-baru ini.

Mungkin, operator loader dimaksudkan untuk berspesialisasi dalam rumah sakit, fasilitas medis, pemasok insulin, produsen peralatan medis dan organisasi penting lainnya. Ini adalah beberapa operator perangkat lunak ransomware paling produktif yang berhubungan dengan puluhan serangan.

Dengan bantuan Vatet dan Cobalt Strike, grup hack memasang berbagai ransomware. Mereka baru-baru ini menggunakan aplikasi dalam memori yang menggunakan Alternate Data Streams (ADS) dan menunjukkan versi persyaratan pembelian kembali yang disederhanakan dari keluarga aplikasi yang lebih lama. Penyerang mendapatkan akses ke jaringan menggunakan kerentanan CVE-2019-19781 , endpoint bruteforce dengan RDP, dan mengirim pesan dengan file .lnk yang menjalankan perintah PowerShell berbahaya. Setelah diretas ke dalam jaringan, peretas mencuri kredensial, termasuk dari repositori Credential Manager, dan menggunakan "bias lateral" sampai mereka mendapatkan hak administrator domain. Menurut pengamatan, sebelum penyebaran program ransomware, operator mengekstrak data dari jaringan.

NetWalker Ransomware

Operator NetWalker menjadi terkenal karena serangan terhadap rumah sakit dan fasilitas medis di mana mereka mengirim surat yang menjanjikan untuk memberikan informasi tentang COVID-19. Program NetWalker terkandung dalam surat-surat sebagai lampiran .vbs, dan teknik ini menarik perhatian media. Namun, operator juga membahayakan jaringan menggunakan aplikasi berbasis IIS yang tidak dikonfigurasi dengan benar untuk meluncurkan program Mimikatz dan mencuri kredensial. Kemudian, menggunakan informasi ini, para penyerang meluncurkan PsExec, dan sebagai hasilnya menginstal NetWalker.

Ransomware PonyFinal

Program Java ini dianggap sebagai hal yang baru, tetapi serangan menggunakannya tidak jarang. Operator mengkompromikan sistem web yang dapat diakses dari Internet dan menerima kredensial istimewa. Untuk memastikan stabilitas kehadiran mereka di jaringan yang diserang, penyerang menggunakan perintah PowerShell untuk meluncurkan alat sistem mshta.exe dan mengkonfigurasi koneksi shell terbalik berdasarkan kerangka kerja PowerShell yang populer untuk serangan. Juga, peretas menggunakan alat yang sah seperti Splashtop untuk menjaga koneksi ke desktop jarak jauh.

Labirin Ransomware

Salah satu kampanye ransomware pertama yang menjadi berita utama karena menjual data curian. Labirin terus mengkhususkan diri dalam penyedia teknologi dan layanan publik. Ransomware ini digunakan untuk melawan penyedia layanan terkelola (MSP) untuk mendapatkan akses ke data dan jaringan pelanggan mereka.

Labirin menyebar melalui surat, tetapi operator juga menginstal program setelah mendapatkan akses ke jaringan menggunakan vektor serangan umum seperti kekuatan kasar RDP. Setelah menembus jaringan, penyerang mencuri kredensial, melakukan "lateral offset" untuk mendapatkan akses ke sumber daya dan mengekstrak data, dan kemudian menginstal ransomware.

Selama kampanye peretas baru-baru ini, peneliti Microsoft melacak bagaimana operator Labirin mendapatkan akses melalui bruteforce RDP dari akun admin lokal pada sistem yang dapat diakses Internet. Setelah kata sandi brute force, operator dapat melakukan "pergeseran samping", karena akun admin bawaan di titik akhir lain menggunakan kata sandi yang sama.

Setelah mencuri kredensial dari akun administrator domain, para peretas menggunakan Cobalt Strike, PsExec dan sejumlah alat lain untuk mengirimkan semua jenis muatan dan mendapatkan akses ke data. Penyerang mengatur kehadiran bebas file di jaringan menggunakan penjadwal tugas dan layanan yang menjalankan shell berbasis PowerShell jarak jauh. Juga, peretas menyalakan Windows Remote Management untuk mempertahankan kontrol dengan akun administrator domain yang dicuri. Untuk melemahkan kontrol atas keamanan informasi dalam persiapan untuk menginstal ransomware, para penyerang memanipulasi berbagai pengaturan melalui kebijakan grup.

Ransomware REvil

Ini mungkin grup pertama dari operator ransomware yang mengeksploitasi kerentanan jaringan di Pulse VPN untuk mencuri kredensial untuk mendapatkan akses ke jaringan. REvil (atau Sodinokibi) dikenal karena menembus MSP, mendapatkan akses ke jaringan dan dokumen pelanggan mereka, serta menjual akses kepada mereka. Penyerang terus melakukan ini selama krisis saat ini, menyerang MSP dan target lainnya, termasuk lembaga pemerintah. Serangan REvil dibedakan oleh penggunaan kerentanan baru, tetapi metode mereka mirip dengan banyak kelompok peretasan lainnya: setelah menembus jaringan, alat seperti Mimikatz dan PsExec digunakan untuk mencuri kredensial, "bias lateral" dan pengintaian.

Keluarga ransomware lainnya

Selama periode peninjauan, penggunaan keluarga aplikasi yang dikelola oleh orang-orang juga dicatat:

Firdaus Dulu didistribusikan secara langsung melalui surat, tetapi sekarang digunakan dalam serangan berbasis manusia.
RagnarLocker. Digunakan oleh grup yang secara aktif menggunakan RDP dan Cobalt Strike dengan kredensial curian.
MedusaLocker. Mungkin dipasang melalui infeksi Trickbot yang sudah ada sebelumnya.
Lockbit Didistribusikan oleh operator yang menggunakan alat uji penetrasi penetrasi CrackMapExec yang tersedia untuk melakukan "perpindahan lateral".

Respons langsung terhadap serangan yang sedang berlangsung

Kami sangat menyarankan agar organisasi segera memeriksa peringatan terkait serangan yang dijelaskan dan memprioritaskan penyelidikan dan pemulihan sistem. Apa yang harus diperhatikan oleh pembela HAM:

PowerShell, Cobalt Strike , « ».
, , Local Security Authority Subsystem Service (LSASS) , .
, USN — .

Perusahaan yang menggunakan Microsoft Defender Advanced Threat Protection (ATP) dapat merujuk ke laporan analisis ancaman untuk perincian peringatan yang relevan dan teknik deteksi lanjutan. Mereka yang menggunakan layanan Ahli Ancaman Microsoft juga dapat menggunakan pemberitahuan serangan yang ditargetkan yang mencakup riwayat terperinci, tindakan perlindungan yang disarankan, dan tips pemulihan.

Jika jaringan Anda telah diserang, segera ikuti langkah-langkah di bawah ini untuk menilai sejauh mana situasi. Ketika menentukan efek serangan ini, Anda tidak boleh hanya mengandalkan indikator kompromi (IOC), karena sebagian besar program ransomware yang disebutkan menggunakan infrastruktur "satu kali", penulis mereka sering mengubah alat dan sistem mereka, menentukan kemampuan target mereka untuk deteksi . Sedapat mungkin, cara mendeteksi dan meminimalkan paparan harus menggunakan teknik berdasarkan pola perilaku yang komprehensif. Anda juga harus menutup kerentanan yang digunakan oleh penjahat cyber sesegera mungkin.

Analisis titik akhir dan kredensial yang diserang

Identifikasi semua kredensial yang tersedia di titik akhir yang diserang. Mereka harus dianggap dapat diakses oleh penyerang, dan semua akun yang terkait dengannya harus dikompromikan. Perhatikan bahwa penyerang tidak hanya dapat menyalin kredensial akun yang masuk dalam sesi interaktif atau RDP, tetapi juga menyalin kredensial dan kata sandi yang di-cache untuk melayani akun dan tugas terjadwal, yang disimpan di bagian registri LSA Secrets.

Untuk titik akhir yang tertanam dalam Microsoft Defender ATP , gunakan metode canggih untuk mengidentifikasi akun yang masuk ke titik yang diserang. Untuk melakukan ini, ada permintaan berburu di laporan analisis ancaman.
Windows, , — 4624 2 10. 4 5.

Isolasi titik-titik kunci yang mengandung tanda-tanda kontrol dan kontrol atau yang telah menjadi target untuk "perpindahan lateral." Identifikasi titik akhir ini menggunakan kueri pencarian lanjutan atau metode pencarian langsung lainnya untuk IOC yang relevan. Mengisolasi mesin menggunakan Microsoft Defender ATP atau menggunakan sumber data lain, seperti NetFlow, untuk mencari di dalam SIEM atau alat manajemen acara terpusat lainnya. Cari tanda-tanda "perpindahan lateral" dari titik akhir yang diketahui dikompromikan.

Tutup kerentanan yang dapat diakses dari Internet

Identifikasi sistem perimeter yang dapat digunakan penyerang untuk mendapatkan akses ke jaringan Anda. Anda dapat melengkapi analisis Anda menggunakan antarmuka pemindaian publik, misalnya, shodan.io . Peretas mungkin tertarik dengan sistem tersebut:

RDP atau desktop virtual tanpa autentikasi multi-faktor.
Sistem Citrix ADC dengan Kerentanan CVE-2019-19781.
Sistem Pulse Secure VPN dengan kerentanan CVE-2019-11510.
Server Microsoft SharePoint dengan kerentanan CVE-2019-0604.
Server Microsoft Exchange dengan kerentanan CVE-2020-0688.
Sistem pengelolaan Zoho ManageEngine dengan kerentanan CVE-2020-10189.

Untuk mengurangi kerentanan organisasi, pelanggan ATP Microsoft Defender dapat memanfaatkan kemampuan Manajemen Ancaman dan Kerentanan (TVM) untuk mengidentifikasi, memprioritaskan, dan menutup kerentanan dalam konfigurasi yang salah. TVM memungkinkan para profesional dan administrator keamanan TI untuk bersama-sama menyingkirkan kelemahan yang terdeteksi.

Periksa dan perbaiki perangkat yang terinfeksi malware

Banyak peretas menyusup ke jaringan melalui program yang sudah diterapkan seperti Emotet dan Trickbot. Rangkaian alat ini diklasifikasikan sebagai trojan perbankan yang dapat mengirimkan muatan apa pun, termasuk bookmark perangkat lunak permanen. Periksa dan hilangkan semua infeksi yang diketahui dan anggap mereka kemungkinan menyerang vektor lawan manusia yang berbahaya. Pastikan untuk memeriksa semua kredensial terbuka, jenis muatan tambahan, dan tanda-tanda "perpindahan lateral" sebelum mengembalikan titik akhir yang diserang atau mengubah kata sandi.

Kebersihan informasi untuk melindungi jaringan dari ransomware yang digerakkan manusia

Karena operator peretas menemukan lebih banyak korban, pembela HAM harus menilai risiko di muka menggunakan semua alat yang tersedia. Terus menerapkan semua solusi preventif yang terbukti - kebersihan kredensial, hak istimewa minimum dan firewall tuan rumah - yang mencegah serangan yang mengeksploitasi kelemahan keamanan dan hak istimewa yang berlebihan.

Tingkatkan resistensi jaringan Anda terhadap penetrasi, pengaktifan kembali bookmark perangkat lunak dan "perpindahan lateral" dengan langkah-langkah berikut:

Gunakan kata sandi yang dibuat secara acak untuk akun admin, misalnya, menggunakan LAPS.
Terapkan kebijakan penguncian akun .
. , .
C « ». TCP- 445 , .
Microsoft Defender , . .
Office, Office 365 Windows. Microsoft Secure Score , .
, .
, -:
- .
- PsExec WMI-.
- Windows (lsass.exe).

Untuk tips lebih lanjut tentang meningkatkan perlindungan terhadap program ransomware yang dikendalikan manusia dan menciptakan perlindungan yang lebih andal terhadap serangan dunia maya secara umum, lihat Serangan ransomware yang dioperasikan manusia: Bencana yang dapat dicegah .

Microsoft Threat Protection: perlindungan terkoordinasi terhadap aplikasi yang digerakkan oleh manusia yang kompleks dan berskala besar yang dikendalikan manusia

Peningkatan pada bulan April dalam jumlah serangan menggunakan ransomware menunjukkan bahwa peretas tidak khawatir tentang konsekuensi akibat gangguan dalam layanan mereka selama krisis global.

Serangan menggunakan program ransomware yang dikendalikan manusia mewakili tingkat ancaman baru, karena penyerang berpengalaman dalam administrasi sistem dan konfigurasi alat perlindungan, sehingga mereka dapat menemukan cara untuk menembus dengan perlawanan paling sedikit. Menghadapi rintangan, mereka berusaha mendobraknya. Dan jika itu tidak berhasil, mereka menunjukkan kecerdikan dalam menemukan cara baru pengembangan serangan. Oleh karena itu, serangan menggunakan ransomware yang dikontrol manusia sangat kompleks dan luas. Dua serangan identik tidak terjadi.

Perlindungan Ancaman Microsoft (MTP)menyediakan pertahanan terkoordinasi yang membantu memblokir seluruh rantai serangan kompleks menggunakan ransomware yang digerakkan manusia. MTP menggabungkan kemampuan berbagai layanan keamanan Microsoft 365 untuk mengelola perlindungan, pencegahan, deteksi, dan respons titik akhir, email, akun, dan aplikasi.

Dengan menggunakan alat intelijen, otomasi dan integrasi bawaan, MTP mampu memblokir serangan, menghilangkan keberadaan penyusup, dan secara otomatis memulihkan sumber daya yang diserang. Alat ini membandingkan dan mengkonsolidasikan lansiran dan lansiran untuk membantu advokat memprioritaskan insiden dalam hal investigasi dan respons. MTP juga memiliki kemampuan pencarian lintas domain yang unik yang akan membantu mengidentifikasi pertumbuhan serangan dan memahami cara memperkuat pertahanan dalam setiap kasus.

Microsoft Threat Protection adalah bagian dari pendekatan chip-to-cloud, yang menggabungkan perlindungan perangkat keras, sistem operasi dan perlindungan cloud. Fitur keamanan yang didukung perangkat keras di Windows 10, seperti address space layout randomization (ASLR), control flow protection (CFG), dan lainnya, meningkatkan ketahanan platform terhadap banyak ancaman serius, termasuk yang yang mengeksploitasi kerentanan driver kernel. Fitur-fitur keamanan ini diintegrasikan ke dalam Microsoft Defender ATP, yang memberikan perlindungan ujung ke ujung yang dimulai dengan akar kepercayaan yang kuat dari perangkat keras. Pada komputer dengan kernel yang aman ( PC inti-aman ), pembatasan ini diaktifkan secara default.

Kami terus bekerja dengan pelanggan, mitra, dan komunitas riset kami untuk melacak ransomware yang digerakkan orang dan alat canggih lainnya. Dalam kasus yang sulit, pelanggan dapat menggunakan perintah Deteksi dan Respons Microsoft (DART) untuk membantu menyelidiki dan memulihkan.

Lampiran: Teknik Ditemukan ATT & CK MITRE

Serangan menggunakan program ransomware yang dikelola manusia menggunakan berbagai teknik yang tersedia untuk penyerang setelah mendapatkan kendali atas akun domain istimewa. Di bawah ini adalah teknik yang banyak digunakan dalam serangan terhadap perawatan kesehatan dan organisasi kritis pada April 2020.

Akses ke kredensial:

T1003 Kredensial Dumping | Penggunaan LaZagne, Mimikatz, LsaSecretsView dan alat pengumpulan kredensial lainnya, serta penggunaan kerentanan CVE-2019-11510 di titik akhir.

Kehadiran jangka panjang:

T1084 Berlangganan Acara Instrumentasi Manajemen Windows | Berlangganan acara WMI.
T1136 Buat Akun | Buat akun RDP baru.

Manajemen dan kontrol:

T1043 Port Yang Biasa Digunakan | Menggunakan port 443.

Belajar:

T1033 Pemilik Sistem / Penemuan Pengguna | Tim yang berbeda.
T1087 Penemuan Akun | Kueri LDAP dan AD, serta perintah lainnya.
Penemuan Sistem Jarak Jauh T1018 | Ping, qwinsta dan alat dan perintah lainnya.
T1482 Domain Trust Discovery | Enumerasi kepercayaan domain dengan Nltest.

Eksekusi:

T1035 Eksekusi Layanan | Layanan terdaftar untuk menjalankan perintah CMD- (seperti ComSpec) dan PowerShell.

"Perpindahan lateral":

T1076 Remote Desktop Protocol | Gunakan RDP untuk mengakses mesin lain di jaringan.
T1105 Salin File Jarak Jauh | Perpindahan lateral menggunakan WMI dan PsExec.

Menghindari Peralatan Pelindung:

Penghapusan Indikator T1070 pada Host | Menghapus log peristiwa menggunakan wevutil, menghapus log USN menggunakan fsutil, menghapus ruang yang tidak digunakan pada drive menggunakan cipher.exe.
T1089 Menonaktifkan Alat Keamanan | Menghentikan atau meretas antivirus dan perlindungan lainnya menggunakan ProcessHacker, serta menggunakan driver perangkat lunak yang rentan.

Dampak:

T1489 Berhenti Layanan | Hentikan layanan sebelum enkripsi.
T1486 Data Dienkripsi untuk Dampak | Enkripsi pemerasan.

Cara mengurangi risiko yang terkait dengan ransomware ransomware