Ilustrasi (Ist.)
Jakarta - Ingin mendapatkan perasaan seperti yang dialami oleh Mel Gibson dalam film Ransom ketika anaknya diculik dan penculiknya meminta tebusan? Anda tidak perlu jauh-jauh ke Hollywood untuk merasakan hal ini.
Ada satu malware yang bisa membuat Anda mendapatkan pengalaman dimintai tebusan dengan tawanannya data komputer Anda dienkripsi. Dan kabar buruknya, tidak ada orang di dunia ini yang bisa membantu Anda mengembalikan data tersebut kecuali pembuat malware.
Menurut pantauan Vaksincom, korban malware Cryptolocker ini mencapai ribuan orang termasuk di Indonesia dan cukup banyak yang memilih membayar ransom dan mendapatkan kembali datanya.
Namun ada juga kasus dimana ransom sudah dibayarkan tetapi data gagal didekripsi. Cryptolocker sudah menjalankan aksinya di Indonesia dan Vaksincom mendapatkan banyak laporan korban yang datanya dienkripsi oleh Cryptolocker.
Darimana Cryptolocker pertama kali masuk ke sistem komputer Anda? Mengapa Anda bisa terinfeksi malware ini? Jawabanya adalah Anda menerima sebuah email yang tidak dikenal lalu membukanya, dan di dalam email tersebut terdapat sebuah lampiran yang berisikan malware Cryptolocker ini. Contoh email yang berisikan trojan ini seperti gambar berikut. (lihat gambar 1)
Gambar 1. Malware Cryptolocker datang sebagai lampiran email dengan ekstensi .zip
Beberapa alternatif nama dalam lampiran yang termasuk dalam kiriman dari cryptolocker tersebut adalah:
Ada satu malware yang bisa membuat Anda mendapatkan pengalaman dimintai tebusan dengan tawanannya data komputer Anda dienkripsi. Dan kabar buruknya, tidak ada orang di dunia ini yang bisa membantu Anda mengembalikan data tersebut kecuali pembuat malware.
Menurut pantauan Vaksincom, korban malware Cryptolocker ini mencapai ribuan orang termasuk di Indonesia dan cukup banyak yang memilih membayar ransom dan mendapatkan kembali datanya.
Namun ada juga kasus dimana ransom sudah dibayarkan tetapi data gagal didekripsi. Cryptolocker sudah menjalankan aksinya di Indonesia dan Vaksincom mendapatkan banyak laporan korban yang datanya dienkripsi oleh Cryptolocker.
Darimana Cryptolocker pertama kali masuk ke sistem komputer Anda? Mengapa Anda bisa terinfeksi malware ini? Jawabanya adalah Anda menerima sebuah email yang tidak dikenal lalu membukanya, dan di dalam email tersebut terdapat sebuah lampiran yang berisikan malware Cryptolocker ini. Contoh email yang berisikan trojan ini seperti gambar berikut. (lihat gambar 1)
Gambar 1. Malware Cryptolocker datang sebagai lampiran email dengan ekstensi .zip
Beberapa alternatif nama dalam lampiran yang termasuk dalam kiriman dari cryptolocker tersebut adalah:
- bad.exe
- Invoice-E_48F7B37FA8.pdf.exe
- Invoice-E_7B962B6199.zip
- STATEMNT-E_.pdf.exe
- STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe
- 051dd6888c6c6611342965b7f11402f8.exe
- c-b4dba-1261-1389186301051dd6888c6c6611342965b7f11402f8.exe
- 051dd6888c6c6611342965b7f11402f8.PE_STATEMNT-E__pdf_exe
Menurut email yang dikirimkan, ada tagihan yang belum dibayar dimana email tersebut melampirkan bukti tagihan tersebut. Jika korbannya tertipu untuk membuka lampiran tersebut maka secara diam-diam Cryptolocker akan menginfeksi komputer korbannya dan secara diam-diam menghubungi server yang telah dipersiapkan yang akan membuat dua buah key, private key dan public key.
Private key yang akan disimpan di server dan Public key akan dikirimkan ke komputer terinfeksi malware untuk digunakan mengenkrip semua dokumen di komputer tersebut.
Satu-satunya kunci untuk membuka kembali data yang dienkripsi dengan Public key tadi adalah Private key pasangannya yang hanya diketahui oleh server pembuat key.
Gambar 2: G Data Antivirus mendeteksi cryptolocker sebagai Trojan.GenericKD.1491947 dan 1491946
Trojan.GenericKD.1491947 menyebar melalui lampiran email dengan contoh nama: Invoice-E_7B962B6199.zip (69kb) dan ketika dibuka file malwarenya akan memalsukan diri sebagai file Adobe Acrobat.
Namun sebenarnya ia adalah file executable .exe karena menggunakan trik extensi ganda .pdf.exe dengan tujuan mengelabui korbannya karena menggunakan icon pdf. Contoh nama file setelah di-unzip adalah: STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe. (lihat gambar 3)
Gambar 3: Ekstensi ganda dengan icon Adobe Acrobat palsu dimanfaatkan sebagai rekayasa sosial.
Sedangkan varian Trojan.GenericKD.1492946 ini jika sudah menginfeksi pada sistem akan mengaktifkan dirinya sebagai Ofeumyzllxohjhxjf.exe (751kb) dan ia mengubah menjadi file system sehingga file ini bersembunyi dan tidak dapat dihapus. (lihat gambar 4)
Gambar 4: File malware Ofeumyzllxohjhxjf.exe tidak dapat dihapus karena diproteksi.
Kabar buruk dari trojan ini adalah file yang dienkripsi tidak dapat dideskripsi lagi kecuali kita membayar uang tebusan senilai USD 300.
Dalam banyak kasus data akan terdekripsi secara otomatis setelah melakukan pembayaran ransom tetapi perlu Anda ketahui bahwa pembayaran ransom tidak memberikan jaminan bahwa data Anda akan kembali karena tidak bisa berhubungan dengan pembuat malware dan hanya mengikuti perintah pembayaran ransom tanpa jaminan apapun.
Enkripsi merupakan proses mengamankan suatu informasi, merupakan proses untuk mengubah plainteks menjadi chiperteks. Plainteks sendiri adalah data atau pesan asli yang ingin dikirim, sedangkan chiperteks adalah data hasil enkripsi.
Sedangkan deskripsi merupakan kebalikan dari enkripsi, upaya pengolahan data menjadi sesuatu yang dimaksud untuk tujuan tertetentu agar dapat dimengerti oleh orang yang menerimanya.
Ciri Komputer Terinfeksi
Pada umumnya, korban akan terlambat ketika mengetahui bahwa komputernya terinfeksi Cryptolocker ketika mendapatkan permintaan tebusan senilai USD 300 yang muncul pada pop-up di sistem komputernya. Contohnya seperti gambar 5 di bawah ini.
Gambar 5. Popup yang muncul pada sistem windows anda ketika proses enkripsi selesai.
Proses Trojan Ini Aktif
Munculnya file-file aneh yang tidak dikenal atau file acak yang letaknya di C:\User\<User>\AppData\local\<nama acak>.exe, berikut file yang dibuat malware ini:
Selain pop up yang muncul di atas, untuk memastikan korbannya menyadari kalau datanya sudah disandera, Cryptolocker akan mengubah wallpaper komputer menjadi (lihat gambar 6):
Pada umumnya, korban akan terlambat ketika mengetahui bahwa komputernya terinfeksi Cryptolocker ketika mendapatkan permintaan tebusan senilai USD 300 yang muncul pada pop-up di sistem komputernya. Contohnya seperti gambar 5 di bawah ini.
Gambar 5. Popup yang muncul pada sistem windows anda ketika proses enkripsi selesai.
Proses Trojan Ini Aktif
Munculnya file-file aneh yang tidak dikenal atau file acak yang letaknya di C:\User\<User>\AppData\local\<nama acak>.exe, berikut file yang dibuat malware ini:
- Hiijzzhrailjvj.exe
- ls430.exe
- Azpeaevfvionvph.exe
- Htoerngdvedlh.exe
- cryptolocker.ojovirus
Selain pop up yang muncul di atas, untuk memastikan korbannya menyadari kalau datanya sudah disandera, Cryptolocker akan mengubah wallpaper komputer menjadi (lihat gambar 6):
Gambar 6: Background desktop yang diganti oleh malware tersebut.
Jika Anda ingin membayar tebusan, Anda akan dibimbing ke layar berikut untuk melakukan pembayaran seperti gambar 7 di bawah ini:
Gambar 7: Popup meminta kita untuk membayar dalam bentuk BitCoin ataupun MoneyPak.
Berikut contoh display pembayaran bitcoin dan MoneyPak. (lihat gambar 8 dan 9)
Gambar 8: Permintaan pembayaran melalui bitcoin dengan meminta 0,6 BTC dan meminta dikirim ke alamat yang dituju.
Gambar 9: Permintaan pembayaran melalui MoneyPak dengan meminta USD 300.
Langkah pertama trojan ini menyebar melalui spam email yang mengaku berasal dari bank atau perusahaan pengiriman. Ketika Anda membuka lampiran dalam email tersebut -- sekilas dalam pandangan mata file tersebut berbentuk .ZIP atau .RAR -- dan ketika dibuka, kita menyangka file tersebut berbentuk .PDF. Namun tidak nyatanya file tersebut berbentuk .PDF.EXE -- maka otomatis komputer Anda akan terinfeksi.
Hasil Enkripsi
Jika data Anda sudah berhasil dienkripsi oleh Cryptolocker, satu-satunya cara adalah mendekripsi menggunakan Private Key yang hanya dimiliki oleh server host yang dihubungi Cryptolocker.
Tidak ada cara untuk mengembalikan data anda kecuali dari backup yang Anda miliki. Gambar 10-12 dibawah ini memberikan sedikit gambaran file yang dienkripsi oleh Cryptolocker hasil pengetesan laboratorium antivirus Vaksincom:
Gambar 10: File jpg tidak dapat ditampilkan karena sudah dienksipsi.
Gambar 11: File *.docx tidak dapat dibuka setelah terenkripsi
Gambar 12: File *.doc yang dibuka ketika sudah dienkripsi.
Jika data Anda sudah berhasil dienkripsi oleh Cryptolocker, satu-satunya cara adalah mendekripsi menggunakan Private Key yang hanya dimiliki oleh server host yang dihubungi Cryptolocker.
Tidak ada cara untuk mengembalikan data anda kecuali dari backup yang Anda miliki. Gambar 10-12 dibawah ini memberikan sedikit gambaran file yang dienkripsi oleh Cryptolocker hasil pengetesan laboratorium antivirus Vaksincom:
Gambar 10: File jpg tidak dapat ditampilkan karena sudah dienksipsi.
Gambar 11: File *.docx tidak dapat dibuka setelah terenkripsi
Gambar 12: File *.doc yang dibuka ketika sudah dienkripsi.
No comments:
Post a Comment