Ransomware: T&J

Sejarah ransomware

1989: Ransomware yang pertama diketahui, AIDS Trojan 1989 (juga dikenal sebagai «PC Cyborg»), ditulis oleh Joseph Popp
2005: Pada bulan Mei, pemerasan ransomware muncul
2006: Di pertengahan 2006, worm seperti Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, dan MayArchive mulai menggunakan skema enkripsi RSA lebih canggih, dengan ukuran kunci yang makin meningkat
2011: Sebuah worm ransomware menirukan peringatan Windows Product Activation muncul
2013: Sebuah worm ransomware berbasiskan pada Stamp.EK mengeksploitasi permukaan kit dan sebuah worm ransomware khusus Mac OS X muncul ke permukaan. CryptoLocker menggondol sekitar $5 juta dalam empat bulan terakhir dalam setahun
2015: Beberapa varian pada beberapa platform menyebabkan kerugian besar

Tipe-tipe ransomware

  • Enkripsi Ransomware

Ransomware mengenkripsi berkas-berkas dan folder pribadi (dokumen, lembar kerja, gambar, dan video).

Berkas yang terinfeksi dihapus setelah dienkripsi, dan umumnya pengguna akan menemukan berkas teks dengan instruksi untuk pembayaran dalam folder yang sama dengan berkas-berkas yang sekarang tidak bisa diakses.

Anda mungkin menemukan masalah hanya ketika Anda mencoba membuka salah satu dari berkas-berkas tersebut.

Sebagian, tetapi tidak semua tipe perangkat lunak enkripsi menampilkan ‘layar terkunci’:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Layar Terkunci Ransomware — WinLocker

Program ini mengunci layar komputer dan meminta pembayaran.

Menampilkan gambar satu layar penuh yang memblokir semua jendela lain.

Tidak ada berkas pribadi yang terenkripsi.

Polyransom2

  • Master Boot Record (MBR) Ransomware

The Master Boot Record (MBR) merupakan bagian dari cakram keras komuter yang memungkinkan sistem operasi untuk mulai aktif.

MBR ransomware mengubah MBR komputer sehingga proses booting normal terganggu.

Malahan, tuntutan tebusan ditampilkan pada layar.

Master-Boot.jpg

  • Ransomware mengenkripsi server web

Menarget server web dan mengenkripsi sejumlah berkas yang ada di dalamnya.

Kerentanan yang diketahui dalam Sistem Manajemen Konten (CMS) sering kali digunakan untuk menyebarkan ransomware pada layanan web.

Ransomware encrypting web servers

  • Ransomware perangkat seluler (Android)

Perangkat seluler/mobile (sebagian besarnya Android) dapat terinfeksi melalui “pengunduhan tak diharapkan”.

Ponsel ini juga bisa terinfeksi melalui aplikasi yang menyamar sebagai layanan populer seperti produk Adobe Flash atau antivirus.

Mobile Ransomware

Bila terserang, apakah sebaiknya saya membayar tebusan?

Membayar uang tebusan sangat tidak disarankan, terutama karena itu tidak menjamin pemecahan masalah. Ada juga sejumlah masalah yang secara tidak sengaja malah memburuk. Sebagai contoh, bisa jadi ada kesalahan dalam malware yang membuat data terenkripsi menjadi tidak dapat diperoleh kembali meskipun dengan kunci yang benar.

Selain dari itu, bila tebusan dibayar, ini akan membuktikan pada para penjahat siber bahwa ransomware cukup efektif. Sebagai hasilnya, penjahat siber akan melanjutkan aktivitas mereka dan mencari cara baru untuk mengeksploitasi sistem yang berakibat pada makin banyak infeksi dan makin banyak uang dalam rekening mereka.

Bagaimana bekerjanya serangan ransomware?

Sebuah serangan ransomware khususnya dikirimkan melalui lampiran email yang mungkin saja sebuah berkas yang bisa dieksekusi, sebuah arsip atau sebuah gambar. Begitu lampiran dibuka, malware terlepas ke dalam sistem pengguna. Penjahat siber dapat juga menanamkan malware pada situs web. Ketika seorang pengguna mengunjungi dengan tanpa diketahui, malware dilepas ke dalam sistem.

Infeksinya tidak seketika tidak jelas kelihatan pada pengguna. Malware ini beroperasi dengan diam-diam di belakang layar hingga sistem atau mekanisme penguncian data disebarkan. Kemudian sebuah kotak dialog muncul yang memberitahukan pengguna datanya telah dikunci dan menuntut tebusan untuk membuka kuncinya lagi. Pada waktu itu sudah sangat terlambat untuk menyelamatkan data melalui segala langkah keamanan.

Untuk informasi lebih lanjut harap lihat video di bawah ini:

Siapakah para korban ransomware?

Semua konsumen dan semua bisnis dapat menjadi korban ransomware. Para penjahat siber tidak pandang bulu, dan sering kali berharap menyerang pengguna sebanyak mungkin agar memperoleh keuntungan setinggi-tingginya.

Apakah serangan ransomware terhadap bisnis terus tumbuh?

Ya, sebab penjahat siber mengetahui bahwa organisasi kemungkinan besar membayar sebab data yang dijadikan sandera biasanya yang sensitif dan vital untuk kesinambungan bisnis. Selain itu, terkadang bisa lebih mahal untuk mengembalikan cadangan daripada membayar tebusan.

Mengapa sulit sekali menemukan pemecahan tunggal menghadapi ransomware?

Ransomware sedang tumbuh subur – sekarang ini ada lebih dari 50 turunan dari malware ini beredar — dan berevolusi dengan cepat. Dengan tiap-tiap varian baru menghadirkan enkripsi lebih baik dan fitur-fitur baru. Ini sesuatu yang tak bisa Anda abaikan!

Salah satu alasan mengapa begitu sulitnya menemukan pemecahan tunggal adalah karena enkripsi itu sejatinya tidaklah jahat. Enkripsi sebenarnya sebuah perkembangan yang bagus dan banyak program tidak berbahaya memanfaatkannya.

Malware-kripto pertama menggunakan algoritme kunci-simetris, dengan kunci yang sama untuk enkripsi dan dekripsi. Informasi yang terkorupsi biasanya bisa berhasil diuraikan sandinya dengan bantuan perusahaan keamanan. Dari waktu ke waktu, penjahat siber mulai menerapkan algoritme kriptografi asimetris yang menggunakan dua kunci terpisah — satu yang publik untuk mengenkripsi berkas-berkas, dan satunya privat yang diperlukan untuk dekripsi.

CryptoLocker Trojan merupakan sebuah ransomware yang paling terkenal. Yang juga memakai algoritme kunci publik. Begitu tiap-tiap komputer terinfeksi akan tersambungkan ke server perintah dan kontrol untuk mengunduh kunci publik. Kunci privat bisa diakses hanya oleh penjahat yang menulis perangkat lunak CryptoLocker. Umumnya, korbannya punya waktu tidak lebih dari 72 jam untuk membayar uang tebusan sebelum kunci privat mereka dihapus selamanya, dan tidak mungkin untuk mendekripsi berkas apa pun tanpa kunci.

Jadi Anda harus memikirkan tentang pencegahan lebih dahulu. Kebanyakan perangkat lunak antivirus sudah menyertakan sebuah komponen yang membantu mengidentifikasi ancaman ransomware di tahap dini infeksi, tanpa terjadi kehilangan data sensitif apa pun. Sangat penting bagi pengguna untuk memastikan bahwa fungsionalitas ini diaktifkan dalam program antivirus mereka.

Bagaimana peluangnya kalau Anda dapat membantu korban ransomware mendapatkan kembali berkas-berkas mereka?

Proyek “Tiada Lagi Tebusan” baru saja dimulai, tetapi kami terus bekerja bersama perusahaan-perusahaan keamanan lainnya dan petugas penegak hukum untuk mengidentifikasi sebanyak mungkin kunci, untuk aneka macam kemungkinan varian. Bila Anda memiliki informasi yang Anda pikir dapat membantu, harap bagikan dengan kami.

Apakah Crypto Sheriff dan bagaimana saya memakainya?

Crypto Sheriff merupakan sebuah alat yang dirancang untuk membantu kami menentukan tipe ransomware yang menginfeksi perangkat Anda. Dengan ini akan memungkinkan kami mengecek apakah ada pemecahannya yang tersedia. Harap saksikan video di bawah untuk melihat bagaimana cara kerjanya:

Alat dekripsi Anda tidak berfungsi, meskipun saya sangat yakin telah menggunakan alat yang tepat - mengapa?

Ini mungkin saja. Terkadang kami hanya mendapatkan sederet kunci yang tidak lengkap, jadi harap selalu mengecek situs web ini.

Kapankah kemungkinannya untuk bisa mendekripsi berkas-berkas yang dienkripsi dengan ransomware?

Ada kemungkinan dalam kasus-kasus berikut ini:

  • Penulis malware membuat suatu kesalahan implementasi, membuka kemungkinan untuk memecahkan enkripsinya. Itu seperti halnya kasus dengan ransomware Petya dan dengan ransomware CryptXXX.
  • Penulis malware merasa menyesal dengan tindakan mereka dan memublikasikan kuncinya, atau kunci master, seperti dalam kasus TeslaCrypt.
  • Petugas hukum menyita server dengan kunci di dalamnya dan mengumumkannya. Satu contoh seperti itu adalah CoinVault.


Terkadang membayar tebusan juga bekerja, tetapi tidak ada jaminan pembayaran itu benar-benar akan mengarah ke berkas-berkas bisa didekripsi. Selain itu, Anda ikut mendukung model bisnis kejahatan dan dengan demikian ikut bertanggung jawab atas semakin banyaknya orang terinfeksi ransomware.

Mengapa Anda memutuskan untuk memulai prakarsa Tiada Lagi Tebusan?

Bukan rahasia lagi kalau ransomware, yang mengenkripsi data pada sistem pengguna dan kemudian meminta tebusan, telah menjadi permasalahan besar bagi keamanan siber selama beberapa tahun terakhir. Ini sudah menjadi begitu luas tersebar sehingga dengan mudahnya ini disebut epidemi. Jumlah pengguna yang terserang ransomware membumbung tinggi, dengan 718.000 pengguna terkena antara April 2015 dan Maret 2016: peningkatan 5.5 kali dibandingkan dengan periode yang sama di 2014-2015.

Polisi tidak dapat memerangi sendiri kejahatan siber, dan terutama sekali ransomware. Dan para peneliti keamanan tidak dapat mengerjakannya tanpa dukungan dari petugas penegak hukum. Tanggung jawab untuk memerangi ransomware dipikul bersama polisi, departemen kehakiman, Europol dan perusahaan-perusahaan keamanan TI, dan meminta upaya bersama. Bersama-sama kita akan melakukan segala-galanya dalam kemampuan kita untuk mengacaukan rencana kotor mencetak uang para penjahat dan mengembalikan berkas-berkas kepada pemiliknya yang sah, tanpa perlu membayar sejumlah besar uang.

Apakah ada prakarsa serupa di negara saya?

Tiada Lagi Tebusan merupakan prakarsa internasional yang menunjukkan nilai kerja sama publik-privat ketika mengambil tindakan tegas terhadap kejahatan siber. Kolaborasi ini jauh melintasi batas geografis. Sasaran utama dari proyek adalah untuk berbagi pengetahuan dan mendidik para pengguna di seluruh dunia tentang bagaimana mencegah serangan ransomware. Kami yakin kalau pada akhirnya ini mengarah ke dukungan untuk memperbaiki kerusakan yang disebabkan pada para korban di seluruh muka bumi. Dengan memugar akses ke sistem mereka, kami memberdayakan para pengguna dengan menunjukkan mereka dapat mengambil tindakan dan menghindari menguntungkan penjahat dengan pembayaran tebusan.

Pada tahap awalnya, portal ini berisi empat peralatan dekripsi untuk berbagai tipe malware. Semua peralatan yang tersedia di situs web ini adalah gratis, dan akan bekerja bagi pengguna mana saja yang terinfeksi oleh ancaman yang disinggung di situs web - tanpa memandang di mana mereka berada di dunia.