Ransomeware

12 Mei 2017 mungkin bakal jadi hari heboh di jagat maya setelah Dyn DNS attack pada 21 Oktober yang lalu. WannaCry langsung jadi trending di banyak negara, terutama negara yang terdampak paling besar yaitu UK. Sejatinya ransomeware bukanlah barang baru di dunia serangan cyber. Sejak CryptoCurrency naik daun, ransomeware mulai muncul baik yang menyerang server tertentu secara spesifik maupun secara sporadis.

Mengenal Ransomeware

Istilah Ransomeware (saya belum menemukan padanan bahasa Indonesia yang tepat untuk ini) adalah salah satu tipe Malware yang dirancang untuk menghambat akses user terhadap komputernya sampai sejumlah uang tebusan dibayarkan. Bentuk hambatan ini dapat dengan beberapa cara, seperti mencegah pengguna login, akses SSH yang diblok atau user/password SSH yang diganti, dan yang paling ekstrim adalah mengenkripsi data pengguna dengan metode enkripsi tertentu sehingga sulit atau bahkan tidak dapat diakses oleh pengguna. Pembayaran biasanya menggunakan bitcoin sebagai salah satu CryptoCurrency yang sudah banyak digunakan. CryptoCurrency digunakan karena pembayaran digital jenis ini tidak dapat diakses pemiliknya sehingga pembuat Ransomeware sangat sulit ditrace.

Ransomeware Sejarah Infeksinya

Serangan Ransomeware pertama dalam sejarah terjadi pada 1989 yang dikenal dengan Aids Trojan disebarkan melalui Floppy Disk oleh Joseph Popp, PhD. Ransomeware ini meminta tebusan $189 menginfeksi dan bergerak setelah 90 hari booting pada Komputer. Ransomeware modern bergerak mirip seperti Aids Trojan dengan cara yang lebih modern. Ransomeware paling terkenal pada masa 2014-2016 antara lain CryptoLocker, CyptoWall, Locky, dan TeslaCrypt.

Percentage distribution of ransomware variants observed by Kaspersky Labs, 2014-2016
Percentage distribution of ransomware variants observed by Kaspersky Labs, 2014-2016

TeslaScrypt

TeslaScrypt V3 terakhir menyerang pada Maret 2016 (dan tentunya sampai sekarang masih ada korban berjatuhan). Ransomeware ini menyusup via email berisi link atau lampiran file bermuatan trojan. TeslaScrypt akan mengenkripsi file pengguna dan mengganti ekstensi menjadi .mp3/.ttt/.micro. 

Locky

Locky menyamarkan diri sebagai file Microsoft Word dengan memanfaatkan Macro sebagai celah. Apabila file ekstension .Locky ditemukan pada network share anda, itu artinya anda telah terinfeksi Locky. Ransomware Locky mempengaruhi hampir seluruh format file dan mengenkripsi semua file dan mengganti dengan ekstension .Locky. Mengenkripsi lebih dari 100 ekstension, artinya hampir semua ekstension populer dalam komputer dapat dienkripsi seperti JPG, PNG, atau GIF, file database seperti DB, ODB, MDB atau SQLITEDB, DBF, MySQL, atau file Video seperti MP4, MOV dan FLV, untuk pemrograman JS, vbs, JAVA, file kompres ZIP, file microsoft office DOC, DOCX, XLS, XLSX, PPT, PPTX, file OpenOffice/LibreOffice dan banyak lagi.

Setelah dienkripsi, malware ransomware menampilkan pesan yang ditinggalkan dalam file _Locky_recover_instructions.txt yang isinya memberi instruksi kepada korban untuk mendownload TOR dan mengunjungi website pelaku untuk petunjuk lebih lanjut dan pembayaran. Locky meminta korban untuk membayar 0.5 dan 2 Bitcoins ($208 sampai $800) untuk mendapatkan kunci dekripsi.

Salah satu catatan yang menarik dari Locky, bahwa ransomware ini diterjemahkan dalam banyak bahasa, untuk makin meningkatkan serangannya ke berbagai penjuru dunia, sehingga bisa mendapatkan korban lebih maksimal. ESET Indonesia sendiri mendapatkan sample dalam bahasa Jepang.

KeRanger

Jika anda pikir anda akan selamat dari Ransomeware dengan menggunakan OSX, maka anda keliru. Setelah berulangkali terdeteksi dengan varian-varian baru di Windows, dan Android, kini ada KeRanger, atau nama lengkapnya OSX/Filecoder.KeRanger.A varian ransomware yang menyasar sistem operasi Mac dengan cara penyebarannya yang memanfaatkan sebuah apps bernama Transmission. Aktifitas awal kemunculan dideteksi pada awal Maret 2016. Pengguna apps Transmission di komputer Mac akan mendapat notifikasi update apps Transimison. Peringatan tersebut menginformasikan apps Transmission versi 2.90 harus segera diupgrade ke versi 2.91. Kenapa? Karena versi Transmission v2.90 terinfeksi Ransomware KeRanger.

CryptoWall

CryptoWall menginfeksi banyak komputer pada 2015-2016. CryptoWall sesungguhnya tidak terlalu ganas, namun cukup menyebalkan. Cryptowall bukanlah satu-satunya dari jenisnya. Ada program berbahaya lainnya yang bekerja dengan cara yang sama seperti Cryptolocker, CryptoDefense, dan banyak lagi. Sekali dalam sistem, aplikasi berbahaya dimulai enkripsi format file tersebut sebagai .doc, .ppt, .jpg, .pdf, dan lain-lain. Segera setelah hal ini dilakukan dengan proses enkripsi, menambahkan beberapa file ke komputer Anda yang berisi petunjuk tentang cara mendekripsi data dienkripsi. Petunjuk ini akan memberitahu Anda bahwa satu-satunya mendapatkan kembali akses ke file Anda adalah dengan membeli Cryptowall decrypter. Untuk melakukan bahwa Anda akan diminta untuk mendaftar Bitcoin dompet, membeli dan mengirimkan Bitcoins ke alamat tertentu. Setelah Anda membuat pembayaran 500USD EUR, Anda seharusnya akan mampu mengembalikan file Anda.

WannaCrypt

WannaCrypt menjadi momok karena beroperasi lewat jaringan. Jika anda masih ingat, kita sempat dibuat kerepotan dengan salah satu virus made in Indonesia bernama brontok yang juga menyebar lewat jaringan. WannaCrypt memanfaatkan samba sebagai celah menginfeksi komputer lawan. Sehingga komputer yang memiliki file sharing aktif akan menjadi target empuk WannaCrypt. (Kebanyakan Komputer dengan Windows 10 saat ini secara default tidak mengaktifkan file sharing dikomputernya, sehingga relatif lebih aman. Namun Komputer Kantor umumnya mengaktifkan file/printer sharing sehingga terdampak besar. Ini asumsi saya pribadi karena saya belum pernah terkena atau menemui komputer yang terkena malware ini). Dalam 1 hari saja ransomeware ini telah menginfeksi lebih dari 100 negara, termasuk Indonesia. 

Sebaran Wannacrypt dalam 1 hari
Sebaran WannaCrypt dalam 1 hari

Langkah Pencegahan Ransomeware WannaCry / WannaCrypt

Secara pribadi saya menggunakan ESET Smart Security pada kedua notebook saya. Sejauh ini saya belum menemui kendala virus dengan menggunakan ESET dan alasan utamanya karena ESET sejauh ini AV berbayar yang paling ringan di antara AV berbayar lain. ESET juga sudah banyak membuktikan diri sebagai AV yang dapat diandalkan terutama saat menghadapai Ransomeware. ESET juga sudah menerbitkan decrypt salah satunya untuk ransomeware Crysis. Petunjuk berikut diperuntukkan tidak saja bagi pengguna ESET namun juga bagi pengguna lainnya.

Secara singkat, WannaCry sesungguhnya bisa ditangkal dengan mematikan Samba atau yang pada Windows fitur ini dikenal dengan SMB 1.0/File Sharing Support. Namun untuk memberi keyakinan memadai maka berikut langkah yang dapat anda lakukan.

  1. Tutupakses port 135-139, 445, 3389pada komputer, pengguna ESET Internet Security, ESET Smart Security, ESET Smart Security Premium dapat menggunakan ESET Firewall
  2. Pastikan diupdatedengan signature minimal versi 15404
  3. Pastikan semua PC dalam lingkup perusahaan sudah diinstall ESET, tanpa terkecuali
  4. Pastikan menggunakanESET Versi 10, yang sudah dilengkapi dengan fitur ANTI RANSOMWAREsesuai yang dianjutkan Kominfo
  5. Aktifkan ESET LiveGrid
  6. Update semua OS yg dimiliki tanpa kecuali
  7. Lakukan update sistem operasi Anda, khususnya untuk celah keamanan Microsoft MS17- 010
  8. Windows XP SP3 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  9. Windows 7, 8, 8.1, 10 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  10. Matikan file sharing di Windows Desktop jika tidak diperlukan
  11. Backupdata secara Offline jika diperlukan
  12. Jangan mengklik link/attachment dari sumber-sumber yang mencurigakan atau tidak dikenal
  13. Waspada saat terima email dengan attachment atau LINK, walaupun subjectnya ditulis: INVOICE, QUOTATION, PENAWARAN, TAGIHAN dll

Baiklah sekian informasi yang dapat saya bagikan, semoga bermanfaat dan Happy Coding kawan!

Pesan Masyarakat dari Kominfo:


Sumber:

https://blog.barkly.com/ransomware-statistics-2016 

http://www.bacapikirshare.org/index.php/waspada-serangan-ransomware-wannacry-tindakan-pencegahan-untuk-eset-home-users/ 

https://www.quora.com/What-happened-on-May-12-2017s-cyber-attack/answer/Novak-Scottia?srid=THF6