Restore Backup, sebagai satu-satunya solusi penanganan Ransomware

Josua Sinambela
Follow me

Josua Sinambela

Professional Computer Network & Information Security Consultant, Digital Forensic Investigator. Have more than 14 years of experiences in Networking Technology & InfoSec fields
Josua Sinambela
Follow me

ransomINFOsec.ID – Sedia payung sebelum hujan, merupakan peribahasa yang paling tepat untuk menanggapi banyaknya kejadian cybercrime  yang memanfaatkan malware ransomware  yang marak belakangan ini.

Ransomware merupakan istilah untuk jenis malware yang melakukan enkripsi file/dokumen pada perangkat Server/Komputer/Mobile kemudian meminta tebusan kepada pemilik dokumen jika masih menginginkan file/dokumen tersebut kembali (terdekripsi). Pelaku yang memanfaatkan ransomware biasanya menggunakan algoritma enkripsi yang cukup kuat sehingga hanya bisa direcovery jika memiliki kunci yang tepat.

Hari rabu lalu (kemarin), tanggal 30 Maret 2016, salah seorang dari perusahaan client saya di Kalimantan tiba-tiba menghubungi  via telepon, Beliau menanyakan tentang malware/virus yang menginfeksi beberapa Server dan PC berbasis Windows mereka sejak tanggal 27 Maret lalu. Beliau menginformasikan jika semua file pada Server mereka tidak dapat dibuka dan berubah nama menjadi berekstensi *.xtbl . Mendengar informasi tersebut, feeling saya langsung menyatakan pasti ransomware. Setelah saya gali informasi lagi, apakah ada informasi dan pesan-pesan yang muncul pada komputer server tersebut seperti file terenkripsi dan permintaan komunikasi atau pembayaran. Ternyata betul, disebut bahwa ada informasi pesan pada Wallpaper desktop mesin terinfeksi tersebut, terdapat juga file Readme.txt dan How to decrypt your files.txt.

cyber_baba2-ransomware
Tampilan Desktop – wallpaper mesin terinfeksi ransomware *.xtbl
cyber_baba2-ransomware2
Daftar File dan Dokumen terinfeksi ransomware *.xtbl

Saat itu juga, saya langsung menginformasikan bahwa itu merupakan salah satu jenis malware ransomware, yang bertujuan men-sandera seluruh file file/dokumen dengan enkripsi  dan akan meminta bayaran sebagai tebusan agar file file dapat terdekripsi kembali.  Saran saya untuk tidak mengikuti keinginan pelaku dan tidak perlu menghubungi mereka.  Saya konfirmasi juga apakah mereka memiliki backup data dan system mesin tersebut, untungnya mereka menjawab ya. Meskipun backup tersebut mungkin bukan versi yang relatif baru. Saya juga teringat 2 tahun lalu pernah memasang server NAS yang memang ditujukan  untuk memirror/backup seluruh server server di perusahaan tersebut. Semoga NAS backup tersebut sering difungsikan dan bisa digunakan untuk merestore system pada server tersebut.

Mungkin ada pertanyaan, kenapa tidak menyarankan untuk mengikuti instruksi dengan membayar untuk mendapatkan kunci atau  berinteraksi dengan pelaku/pemilik ransomware? Bukankah lebih mudah mendapatkan file dan dokumen kembali dengan utuh? Ya, memang dengan mengikuti permintaan pelaku, ada kemungkinan mendapatkan file/dokumen kita kembali, tetapi tidak ada jaminan mereka memberikan kunci yang tepat, atau kunci yang diberikan dapat mengembalikan semua file/dokumen terenkripsi. Sama halnya saat kita berkomunikasi dengan penyandera yang tidak kita ketahui atau kenal sama sekali pelakunya dan tidak tahu apa yang mungkin dilakukannya. Instruksi pembayaran-pun dilakukan secara anonim melalui Bitcoin yang relatif sangat sulit untuk penelusurannya.  Atau meskipun ternyata semua file/dokumen dapat direcover dengan mengikuti instruksi mereka (membayar kunci), maka tidak tertutup kemungkinan mereka akan mencatat atau menandai perusahaan dan akan beraksi mengulangi kembali dengan teknik sedikit berbeda setelah mengetahui si perusahaan  bersedia membayar kunci tersebut, atau menjadikan perusahaan sebagai target kembali dikemudian hari.

Bagaimana mencegah kemungkinan terinfeksi malware ransomware?

Setiap organisasi atau perusahaan yang memanfaatkan Teknologi Informasi rentan terhadap malware ransomware , selain dengan teknologi proteksi yang baik seperti Anti Virus/Anti Malware disisi Jaringan/Server/PC/Mobile, kesadaran terhadap keamanan (security awareness) setiap person pengguna dan pengelola TI sangat berperan penting untuk mencegah terinfeksi ransomware. 

Ransomware umumnya menyebar melalui internet (email/mailing list/attachment/website/url), pelaku biasanya mengirimkan email massal (sehingga sering dianggap spam beberapa mail server) disertai attachment (berupa file dokumen maupun archive .xlsx .docx .zip .rar dst) biasanya menyisipkan trojan/malware pada dokumen ataupun url menuju file dokumen yang berisi trojan/malware. Jika mail server atau filtering jaringan tidak dilengkapi teknologi proteksi malware/virus yang mumpuni, maka tidak tertutup kemungkinan dokumen dokumen tersebut akan masuk ke INBOX atau Komputer/PC pengguna.  Tetapi jika pengguna sudah terlatih dan aware terkait email spam ber-attachment dan malware yang masuk ke INBOX/SPAM Box, seharusnya tidak perlu kuatir, karena pengguna yang sudah paham resiko malware tidak akan mencoba-coba untuk membukanya.  Masalahnya masih belum banyak orang yang sadar (aware) resiko keamanan dari serangan malware tersebut.  Selain melalui email, banyak juga malware ransomware yang menyebar dibantu melalui media social, yang sengaja menggunakan judul page URL yang menarik banyak perhatian pembaca, dan sering tidak disadari juga oleh orang yang mem-posting atau yang men-share URL tersebut.

Hari ini (31 Maret 2016), tersebar berita adanya ransomware bernama kimcilware yang menginfeksi beberapa website berbasis Magento, framework khusus e-commerce. Penulis menduga jika malware kimcilware merupakan hasil pekerjaan orang indonesia, dilihat dari alamat emailnya menggunakan tuyuljahat@hotmail.com .  

ransom-note
Pesan Kimcilware

 

encrypted-files-in-folder
Daftar File terenkripsi Kimcilware

Menurut analisis penulis, malware yang disebut ransomware kimcilware diatas berbeda dengan ransomware contoh sebelumnya (*.locky, *.xtbl dll), yang mampu otomatis menyebar dan menginfeksi targetnya. Kimcilware kemungkinan besar dieksekusi secara manual oleh sipelaku setelah berhasil mengupload webshell (phpshell) dengan memanfaatkan kelemahan framework Magneto dan menggunakan php script untuk enkripsi. Hal ini dapat diamati dari beberapa situs yang diretas dengan script yang sama oleh Kimcilware, umumnya website-website tersebut hosting di mesin server Linux yang memiliki proteksi keamanan di level file ownership dan permission untuk setiap akun hosting. Pada ransomware yang umum seperti *.locky, *.xtbl, malware dapat menginfeksi seluruh system dengan priviledge administrator system, sehingga bahkan mampu mendisable/locked fasilitas restore point MS Windows. Pada kasus kimcilware, si pelaku hanya mampu mengenkripsi folder salah satu akun hosting yang sebelumnya berhasil di take over. Dari informasi pada forum magento , di peroleh informasi jika ada beberapa domain yang menggunakan CMS/framework yang sama  pada server tersebut, tetapi tidak ikut terinfeksi.

Jika memang benar ini adalah hasil pekerjaan “iseng” dari anak Indonesia, sangat disayangkan jika menggunakan kemampuannya dalam membobol situs disalahgunakan untuk mencari keuntungan dengan men-sandera dokumen dan file milik orang lain. Motif pekerjaan seperti ini sudah tergolong sangat merugikan dan memang bertujuan jahat yang sifatnya pemerasan, berbeda dengan para hacker atau defacer umumnya hanya menambahkan informasi pesan jika sistem memiliki kelemahan sembari menampilkan nickname pelaku (defacing).

 

Update: 1 April 2016 pukul 13.13

Facebook Comments

Josua Sinambela

Professional Computer Network & Information Security Consultant, Digital Forensic Investigator. Have more than 14 years of experiences in Networking Technology & InfoSec fields

You May Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *