Informasi Lengkap Seputar Ransomware dan Cara Mengatasinya

Panduan lengkap seputar ransomware dalam Bahasa Indonesia🆔​ .

Apabila kamu terburu-buru, kamu bisa langsung loncat ke bagian Cara Pencegahan Ransomware atau Bagaimana Cara Mengembalikan File Yang Terkena Ransomware?.

Seputar Ransomware

Apa Itu Ransomware

Ransomware yang secara bahasa diartikan sebagai perangkat lunak pemeras 1 ini adalah salah satu tipe malware (malicious software atau perangkat lunak jahat) yang dapat mengambil alih sebuah sistem dan menyandra dan mencegah penggunanya untuk mengakses data-data di dalamnya hingga uang tebusan dibayarkan ke si pembuat ransomware.

Orang Indonesia juga banyak yang menyebutnya sebagai “virus ransomware”, walaupun secara teknis kurang tepat, karena secara teknsi “virus” itu memiliki karakteristik yang berbeda. Karena virus adalah bagian dari malware, begitu juga dengan ransomware. Yah, intinya malware itu ada banyak jenisnya, mulai dari Trojan, Spyware, Worm, dan lain-lain, nah Virus dan Ransomware itu juga termasuk di dalamnya.

Apakah kamu masih ingat sebelumnya dengan “WannaCry”2, ransowmare yang diberitakan secara luas di seluruh dunia termasuk juga di Indonesia, dimana stasiun berita TV lokal di Indonesia pun banyak yang memberitakannya? Yak betul, si “mau nangis” alias WannaCry ini adalah salah satu contoh dari ransomware. Untuk level sekelas “virus komputer”, pemberitaannya ini bisa dibilang yang cukup dahsyat. Bahkan Menteri Komunikasi dan Informatika Republik Indonesia yang saat itu dijabat oleh Rudiantara juga sampai memberikan konferensi pers terhadapt serangan WannaCry di Indonesia saat itu3.

Sejarah Ransomware

Malware jenis ini sebenarnya bukanlah hal baru. Serangan ini diinisiasi pertama kali di tahun 1989, oleh malware bernama “AIDS Trojan” atau dikenal juga dengan nama “PC Cyborg”4, dimana setiap komputer yang terinfeksi akan dimintai bayaran sebesar USD $189 dan USD $378. Ini bisa dikatakan malware pertama yang menerapkan teknik cryptovirology.

Popularitas ransomware kemudian sempat padam, namun kembali muncul sekitar tahun 2006 bernama Gpcode5. Sejak saat itu, populasi ransomware perlahan-lahan mulai naik, dan kini selalu menjadi trending topic di dunia keamanan komputer dan internet karena populasinya yang begitu banyak, dengan dampak yang dihasilkan begitu luar biasa.

Jenis-Jenis Ransomware

Ransomware terdiri dari banyak jenis atau varian, mungkin hingga ratusan atau ribuan jenis yang menyebar luas di luar sana, dan hampir kesemuanya memiliki karakteristik yang berbeda-beda.

Kebanyakan varian ransomware rata-rata menyerang pengguna Windows, walaupun memang ada juga yang menyerang operating system lain mulai, seperti misalkan Linux6, Mac atau OS X7, hingga ke perangkat mobile contohnya Android8, namun jumlah ini sangat kecil dan tidak sebanding dengan ransomware yang ditargetkan untuk menyerang sistem operasi Windows. Pengguna Windows memang dibilang yang terbanyak di dunia.

File ransomware umumnya berupa sebuah file Portable Executable (.exe), namun banyak juga yang berbasis script misalkan JScript/JavaScript (.js), Batch file (.bat, .cmd, dll), Powershell (.ps1), Python (.py), dan banyak lagi yang lainnya. Pokoknya apapun yang bisa dieksekusi di dalam sebuah sistem, itu bisa dimanfaatkan oleh pembuat ransomware.

Dari Mana Ransomware Menyerang

Ransomware dapat menyerang calon korbannya dari berbagai pintu masuk, diantaranya:

  • Menyusup di software bajakan. Ia bisa masuk dan bersembunyi dalam program atau materi bajakan yang kamu download, apalagi bila kamu download nya dari sumber yang tidak jelas, misalkan torrent. Terlebih lagi apabila yang kamu download adalah crack, patch, keygen, dan lain-lain9.
  • Masuk dengan mengeksploitasi celah sistem operasi atau aplikasi. Masuk melalui celah sistem operasi atau aplikasi contohnya ransomware WannaCry di tahun 2017 lalu yang memanfaatkan vulnerability atau celah di Windows yang dikenal dengan Eternal Blue yang akhirnya memaksa Microsoft untuk segera mengeluarkan security patches10.
  • Masuk dengan meng-hack sebuah sistem. Contohnya dengan meng-hack Remote Desktop atau dikenal dengan Terminal service attack11, lalu setelah berhasil masuk, hacker akan menanamkan dan mengeksekusi ransomware nya itu.
  • Masuk dari fake email atau email palsu. E-mail palsu yang seolah-olah dikirimkan dari teman yang kamu kenal atau dari perusahaan tertentu12. Dia bisa masuk dari link yang kamu klik yang ada di dalam email tersebut, atau dari attachment yang menggunakan teknik social engineering yang seolah-olah menyerupai file “.doc” atau “.pdf”, padahal kenyataannya bukan.
  • Menumpang malware lain. Ya betul, ia bisa juga di-drop atau di-download oleh malware lain, misalnya Emotet atau Trickbot yang membawa ransomware Ryuk13. Teknisnya, misalkan komputer kamu awalnya terinfeksi oleh trojan atau worm, lalu di belakang layar ia akan men-download file ransomware dan mengeksekusinya.

Selain menyerang setiap sistem secara masif dan tidak pandang bulu, baik itu komputer pengguna rumahan atau perusahaan, mau kamu pejabat, pekerja kantoran, ibu rumah tangga, anak kuliahan, atau hanya sekedar anak rumahan, semua bisa diserangnya. Namun ada juga beberapa ransomware yang targeted attack, artinya ia hanya akan menyerang target-target tertentu, biasanya merupakan target high-profile, contohnya seperti organisasi atau perusahaan besar, instansi pemerintahan, perbankan, rumah sakit, hingga sektor transportasi14.

Apa Yang Terjadi Saat Terinfeksi Ransomware

Awalnya ransomware hanya akan mengunci sistem komputer korbannya dengan programnya yang akan menutupi seluruh layar komputer, dan komputer tersebut tidak akan bisa dibuka hingga user memasukan password yang tepat. Namun kebanyakan saat ini yang beredar mereka akan mengenkripsi setiap file atau data-data penting yang ada di komputer korban.

Di Indonesia sendiri pernah ada kasus dimana sebuah fasilitas vital seperti rumah sakit bisa lumpuh karena serangan sebuah ransomware15! Bisa dibayangkan kekacauan yang ditimbulkan, bagaimana data-data pasien tidak lagi dapat diakses, semua sistem komputersisasi mengalami error, dan lain sebagainya. Hal seperti ini pun dilaporkan terjadi di negara lain, contohnya rumah sakit LA Hospital yang akhirnya membayar sebesar 40 bitcoins atau saat itu setara dengan 17.000 USD atau 230 juta rupiah kepada si pembuat ransomware agar mereka bisa mendapatkan kembali data-data penting pasiennya, karena saat itu tidak ada lagi yang bisa mereka lakukan, dan prioritasnya adalah untuk menyelamatkan nyawa-nyawa pasiennya16.

Jadi setelah ransomware berhasil mengambil alih sebuah sistem, dia akan menyandra data-data yang ada di dalamnya dan akan meminta uang tebusan yang harus ditransfer ke rekening berbasis cryptocurrency contohnya Bitcoin. Uang yang harus ditransfer juga tidak tanggung-tanggung, untuk sebuah sistem yang terinfeksi ia bisa meminta ratusan bahkan hingga ribuan US dolar untuk mengembalikan data-data itu.

Metode Enkripsi Ransomware

Sebelum saya menerangkan bagaimana ransomware melakukan enkripsi, saya akan jelaskan terlebih dahulu secara singkat apa itu enkripsi.

Apa Itu Enkripsi

Enkripsi adalah termasuk dalam bidang Cryptography17. Cryptography berasal dari bahasa Yunani yang artinya “tersembunyi atau rahasia”, yang bisa diartikan sebagai sebuah metode untuk memproteksi informasi dengan mentransfer atau menyandikan informasi tersebut (plaintext) ke dalam bentuk atau format yang tidak dimengerti (encrypted text atau ciphertext) agar tidak bisa dibaca oleh pihak yang tidak diinginkan.

Cryptography telah digunakan sejak jaman dahulu kala, terlebih lagi di era digital sekarang ini. Contohnya mulai dari aplikasi WhatsApp18 yang kamu gunakan sehari-hari di handphone kamu, hingga transaksi perbankan.

Di dalam dunia cryptography dikenal dua metode enkripsi, yakni enkripsi simetris (symmetric encryption) dan enkripsi asimetris (asymmetric encryption)19.

Dan juga terdapat banyak sekali algoritma yang bisa digunakan, contoh algoritma enkripsi simetris yaitu Caesar Cipher20 yang merupakan algoritma enkripsi jaman jadul yang digunakan oleh Julius Caesar, selain itu ada juga Blowfish, RC2, RC4, RC6, DES, 3DES, Salsa20, ChaCha, TEA, AES, dan masih banyak lagi yang lainnya.

Sementara untuk enkripsi asimetris, algoritma yang mungkin paling banyak digunakan adalah RSA, yang namanya diambil dari nama penemunya yakni Ron Rivest, Adi Shamir, dan Len Adleman di tahun 197821, selain itu juga ada Elliptic Curve Cryptography (ECC)22, dan lain sebagainya.

Enkripsi Simetris

Enkripsi simetris diketahui dapat memproses data lebih cepat bila dibandingkan dengan enkripsi asimetris, namun simetris lebih rentan bila dibandingkan dengan asimetris. Jadi keduanya memiliki kelebihan dan kekurangan masing-masing.

Enkripsi simetris sendiri terdiri dari dua tipe yakni block cipher dan stream cipher. Block cipher akan memproses data nya per-blok dalam satu waktu, misalkan AES, yang menggunakan block size sebesar 128 bit (16 byte). Dan apabila panjang data yang harus diproses ukurannya kurang, maka perlu ditambahkan, yang dikenal dengan istilah padding23, jadi nantinya ukuran data yang dihasilkan bisa sedikit lebih besar karena adanya padding ini.

Berbeda dengan block cipher, stream cipher akan memproses setiap byte datanya dalam satu waktu. Oleh karena itu pada stream cipher, panjang data yang dihasilkan bisa sama dengan data aslinya. Contoh algoritma bertipe stream cipher ini adalah RC4.

Pada enkripsi simetris, ia hanya menggunakan satu kunci untuk melakukan encrypt dan decrypt. Jadi seseorang harus berbagi kunci atau menggunakan kunci yang sama atau identik untuk meng-encrypt dan men-decrypt pesannya.

Misalkan Tono ingin mengirim pesan ke Tini, saat Tini ingin membaca pesannya dia terlebih dahulu harus membukanya menggunakan kunci yang sama dengan yang digunakan oleh Tono. Jadi Tono dan Tini harus memiliki kunci yang sama. Jika Tini tidak memiliki kuncinya maka Tono harus memberikan kuncinya kepada Tini agar ia bisa membaca pesannya. Jika suatu saat ada orang ketiga, si Budi, yang tiba-tiba berhasil mencuri kunci nya, maka Budi pun bisa membaca semua pesan yang ada. Jadi tantangannya adalah tentang mendistribusikan kunci tersebut secara aman dan bagaimana caranya agar kunci tersebut tidak jatuh ke tangan pihak yang tidak diinginkan. Tantangan lainnya adalah bagiamana apabila Tono ingin mengirim pesan tersebut ke banyak orang sekaligus bukan hanya ke Tini, semua orang tersebut juga harus memiliki kunci yang sama.

Enkripsi Asimetris

Enkripsi asimetris dikenal juga dengan Public-Key Cryptography24. Berbeda dengan enkripsi simetris yang hanya menggunakan satu kunci, pada enkripsi asimetris ia menggunakan sepasang kunci yakni public key dan private key.

Public key ini umumnya digunakan untuk mengenkripsi data, dan private key digunakan untuk mendekripsi data. Public key dapat distribusikan ke pihak lain, sementara private key, seperti namanya bersifat pribadi dan tidak untuk diberikan kepada pihak lain. Namun bisa juga seseorang menggunakan private key untuk mengenkripsi, dan pihak penerima menggunakan public key nya untuk mendekripsi. Ini biasanya berguna untuk otentikasi atau validasi keabsahan pesan tersebut.

Misalkan kita ambil contoh lagi si Tono dan Tini. Sebelum Tono mengirim pesan, saat pertemuan pertama Tini memberikan public key miliknya ke Tono. Keesokan harinya saat Tono ingin mengirimkan pesan rahasia , Tono cukup mengenkripsi pesan tersebut menggunakan public key milik Tini yang telah diberikan sebelumnya. Saat Tini menerima pesan tersebut, Tini cukup mendekripsinya menggunakan private key miliknya sendiri untuk dapat membaca pesan tersebut. Kini Budi tidak akan bisa membaca pesan tersebut karena hanya Tini yang memiliki private key nya dan tidak pernah dia berikan pada siapapun. Budi juga tidak bisa mendekripsi pesan tersebut misalkan menggunakan private key miliknya sendiri, karena tentu saja itu bukan kunci pasangannya.

Jadi intinya enkripsi asimetris ini terbilang lebih aman, karena berbeda dengan enkripsi simetris, dimana kuncinya hanya satu dan di-share kepada pihak lain, pada enkripsi asimetris seseorang tidak perlu mengirimkan kunci nya yang bersifat rahasia (private key) itu kepada pihak lain, cukup public key saja, karena seperti namanya, itu bersifat public dan memang boleh diberikan kepada pihak lain. Maka dari itu enkripsi asimetris ini juga dikenal dengan public key encryption. Semua ini memungkinkan karena public key dan private key dihasilkan dari perhitungan matematis yang cukup kompleks sehingga saling terkait satu sama lain.

Bagaimana Ransomware Mengenkripsi

Metode dan algoritma enkripsi yang digunakan oleh ransomware cukup beragam. Ada yang hanya menggunakan metode enkripsi simetris, namun banyak juga yang menggunakan metode asimetris atau lebih tepatnya penggabungan antara enkripsi simetris dengan asimetris. Beberapa varian yang diketahui menggunakan teknik penggabungan ini contohnya adalah WannaCry25, CryptoLocker26, Locky27, Petya28, NotPetya29, GandCrab30, Dharma/CrySis31, GlobeImposter32, Shade/Troldesh33, Ryuk34, Sodinokibi/REvil35, Nemty36, Phobos37, dan lain-lain.

Jadi saat ransomware berhasil masuk ke dalam sebuah sistem, dia selanjutnya akan mencari file-file yang sekiranya penting yang akan ia encrypt, biasanya file tersebut di-filter berdasarkan extension, misalkan hanya file yang berakhiran .doc, .xls, .jpg, .png, dan lain-lain.

Selanjutnya ia akan mengenkripsi setiap file tersebut menggunakan algoritma enkripsi simetris (saya ambil contoh misalkan AES), dengan kunci yang di-generate berbeda-beda atau disebut juga dengan session key, lalu session key itu di-encrypt menggunakan algoritma enkripsi asimetris (misalkan RSA) menggunakan public key si pembuat ransomware yang ditanamkan di dalam tubuh malware tersebut atau bisa juga di download dari Command & Control Server (C&C)38 yang merupakan server yang berperan sebagain pusat kontrol sang pembuat ransomware.

Apakah Enkripsi Bisa Dijebol

Setiap metode dan algoritma enkripsi memiliki kelebihan dan kekurangannya masing-masing, dan dengan tingkat kekuatan yang berbeda-beda, ada yang mudah dibongkar hanya dalam sekejap, dan ada pula yang susah untuk dibongkar walaupun menggunakan super computer dan itu pun bisa bertahun-tahun lamanya. Ilmu untuk mempelajari ini dinamakan dengan Cryptanalysis39.

Saya bisa ambil contoh algoritma enkripsi yang cukup mudah dibongkar yakni Caesar Cipher. Caesar Cipher itu pada dasarnya menggunakan teknik subtitusi atau pergeseran huruf dengan mengganti huruf yang satu dengan yang lain agar terlihat sebagai rangkaian kata yang tidak ada artinya. Misalkan huruf A menjadi huruf B, huruf B menjadi C, dan seterusnya. Jadi hanya dengan melihat pola nya saja seseorang bisa memecahkan pesan yang terenkripsi dengan mencoba segala kemungkinan (brute force) atau yang paling efektif adalah menggunakan statistical analysis atau frequency analysis40. Dan di jaman sekarang ini, enkripsi seperti Caesar Cipher memang sudah tidak lagi digunakan, karena banyak sekali algoritma yang lebih modern, contohnya AES dan RSA.

Lalu apakah data yang terenkripsi oleh ransomware bisa dijebol? Tidak semua, ada yang bisa dan ada yang tidak, tergantung dari metode enkripsi apa yang ia pakai, cara ia mengimplementasikan metode enkripsi tersebut, dan beberapa faktor lainnya.

Beberapa perusahaan keamaan di dunia termasuk para peneliti dan praktisi di bidang keamanan komputer berhasil membuat decryptor atau tools untuk mendekripsi file-file yang di encrypt oleh beberapa varian ransomware. Bagaimana hal tersebut memungkinkan? Salah satunya, ini bisa karena ditemukannya celah atau cacat pada ransomware tersebut, sehingga kita bisa mendapatkan key nya kembali, atau bisa juga karena key yang dimiliki oleh ransomware tersebut telah bocor ke publik, atau bisa jadi memang pembuat ransomwarenya merasa bersalah dan akhirnya me-release key tersebut secara cuma-cuma seperti yang pernah terjadi beberapa tahun lalu41.

Yah, pokoknya ada beberapa kemungkinan, namun saya tidak bisa menjabarkannya secara detil disini karena takut informasi ini malah disalahgunakan dan menjadi motivasi bagi orang jahat untuk membuat malware yang lebih kuat, atau digunakan oleh pemilik ransomware untuk memperbaiki kecacatannya itu.

Dan juga perlu kalian ketahui, tidak semua pembuat malware di luar sana adalah orang yang jago dan memahami seluk beluk sistem operasi dengan baik, atau bahkan familiar dengan ilmu kriptografi. Karena banyak juga dari mereka yang masih dalam taraf level amatir, kode yang digunakan pun hanya berdasarkan ilmu “copy-paste”, misalkan dari Github atau StackOverflow, tanpa mengerti dan memahami dengan jelas apa maksud kode tersebut.

Cara Pencegahan Ransomware

Saya merasa bahwa masih ada sebagian dari kita yang menganggap malware atau khususnya ransomware ini hanyalah hal sepele, dan menganggap remeh, mungkin karena tidak pernah merasakan komputernya terinfeksi ransomware (semoga jangan sampai!). Tapi dari pengalaman, saya bisa merasakan bagaimana hati mereka begitu hancur (seperti ditinggal pacar) saat komputernya terinfeksi malware ini.

Bayangkan saja rasanya bagaimana apabila data-data penting kamu seperti misalkan dokumen skripsi, dokumen bank, dokumen kantor, data sekolah, data kuliah, data pribadi, koleksi foto dan video kamu semenjak kamu kecil, koleksi musik, dan lain-lainnya tiba-tiba tidak bisa dibuka karena di-encrypt oleh ransomware? Sakit nya tuh di sini, Mas!

Saya bisa memberikan beberapa tips pencegahan berikut ini yang semoga bisa meminimalisasi serangan malware atau ransomware.

Gunakan Operating System Asli

Gunakanlah Windows yang asli, bukan yang bajakan! (hare gene masih pake bajakan?!). Karena selain dosa, OS bajakan juga kemungkinan bisa disisipi oleh trojan ataupun program-program yang tidak kita inginkan. Ditambah lagi, dalam studi yang dilakukan oleh BSA Global Software Survey, Indonesia memang masih termasuk negara yang berada di peringkat teratas dalam hal pembajakan software atau software piracy42.

Update OS dan Aplikasi Secara Berkala

Pastikan untuk rajin meng-update OS kamu termasuk semua software yang ada di dalamnya, terutama apabila ada security patch. Ini penting karena dengan melakukan update tersebut dia akan menutupi celah atau bug yang kemungkinan bisa dimanfaatkan oleh para hacker jahat.

Gunakan Antimalware dan Update Selalu

Menginstall software antivirus yang reliable43 dan pastikan selalu terupdate secara berkala (dan juga bukan bajakan ya!). Karena percuma kalau ada program antivirustapi nyatanya tidak pernah di-update.

Lakukan Scan Secara Berkala

Program antivirus memang memiliki fitur real time protection, tapi tidak ada salahnya untuk melakukan full scan secara berkala. Apalagi bagi kamu yang hobi banget surfing di Internet atau colok-colok USB atau flash drive sana-sini. Jangan lupa di-scan terlebih dahulu.

Gunakan Password Yang Susah Ditebak

Gunakanlah password yang susah ditebak oleh orang lain, dan pastikan itu bukan “123456”, karena itu adalah the worst password of the year44!

Apabila kamu orang yang cukup paranioid seperti saya, ada cara untuk mengecek apakah password kita termasuk di dalam daftar password yang biasa digunakan oleh orang jahat untuk meng-hack akun, saya biasanya mengeceknya melalui situs Pwned Passwords45. Saat ini saja password “123456” sendiri sudah ditemukan dan digunakan di kurang lebih 23 juta akun, baik itu akun email hingga sosial media. So, gunakan strong password yah!

Gunakan Password Yang Berbeda

Usahakan menggunakan password yang berbeda untuk setiap akun kamu. Maksudnya adalah apabila misalkan seseorang berhasil meng-hack salah satu akun email kamu, dia tidak akan bisa masuk ke akun email kamu yang lainnya menggunakan password yang sama. Ada aplikasi yang dapat membantu kamu mengingat setiap password, misalkan yang cukup bagus dan gratis yang bisa saya rekomendasikan adalah Bitwarden46.

Aktifkan dan Gunakan Two Factor Authentication

Sebisa mungkin aktifkan dan gunakan two factor authentication atau multiple factor authentication. Beberapa situs atau aplikasi telah menerapkan fitur ini untuk keamanan, contohnya Google, Twitter, Instagram, dan Facebook. Jika kamu belum mengaktifkannya, segeralah aktifkan, ini untuk lapisan pertahanan tambahan.

Backup, Backup, Dan Backup!

Jangan lupa untuk selalu backup data-data penting kamu secara berkala! Saya pribadi bahkan selalu membuat backup dari backup dari backup (backup pangkat 3), jadi selain Plan A, kamu juga punya Plan B, dan C. Ini untuk menjaga-jaga apabila salah satu backup tidak bisa digunakan, kamu bisa menggunakan backup yang satunya lagi. Karena ada kasus dimana data backup nya pun berhasil diserang oleh ransomware, karena ia membackup nya ke server atau network drive yang mana juga terhubung ke komputernya dan terinfeksi oleh ransomware.

Juga, usahakan menggunakan beberapa metode backup sekaligus, idealnya secara online dan offline.

Online backup bisa dengan mengupload nya ke cloud storage semacam Dropbox47, Google Drive48, atau Google Photos49 (bagi kamu yang punya koleksi foto segudang seperti saya), atau juga menggunakan online backup service seperti Carbonite50 dan banyak lagi yang lainnya51.

Selain itu ada juga tools khusus yang dapat mempermudah kamu membackup data-data ke cloud storage seperti misalkan Arq backup52. Dengan tools itu, saya bisa memilih data-data mana saja yang ingin saya upload atau backup ke cloud, dan lebih aman, karena data tersebut akan dienkripsi sebelum di upload, dimana hanya saya sendiri yang punya key nya. Jadi jika suatu saat ada hacker yang berhasil membobol masuk server cloud storage tersebut, dia tidak akan bisa membuka file-file yang saya backup di sana.

Untuk offline backup, saya juga mempunyai sebuah Bluray writer53 yang biasanya digunakan untuk meng-copy file-file penting saya ke CD/DVD/Bluray disc. Atau kalau mau gampang, bisa juga dengan cukup meng-copy data mu ke hard disk eksternal atau hard disk portable. Namun jangan lupa untuk mencabut hard disk nya dari komputer setelah proses backup selesai, dan simpan di tempat yang aman.

Batasi Akses Dan Tutup Service Yang Tidak Digunakan

Batasi atau tutup akses ke service atau port yang tidak kamu gunakan, contohnya Remote Desktop (RDP) atau Terminal services54. Sistem operasi seperti Windows memang memiliki fitur RDP yang secara default tersedia dari pertama kita menginstall nya, untuk itu apabila kamu tidak pernah menggunakan Remote Desktop, silahkan dinonaktifkan saja, atau buat settingan RDP lebih aman55 untuk meminimalisasi celah, dan setidaknya gunakan Network Level Authentication.

Belakangan, kasus dimana hacker mencoba memasuki komputer korbannya dengan cara meng-hack RDP atau Remote Desktop terus meningkat. Ia bisa masuk dengan cara mencoba berbagai kemungkinan password, misalkan dengan brute-force attack atau dictionary attack.

Ini terkait dengan apa saya bilang di poin sebelumnya — gunakanlah password yang susah ditebak, karena apabila hacker ini sudah masuk secara remote ke komputer kamu, dia bisa berbuat apa saja.

Kasus seperti ini sudah banyak terjadi sekarang ini, terlebih lagi kebanyakan korbannya adalah corporate, dimana di dalam perusahaan tersebut pasti terhubung dengan komputer-komputer atau server lain dan dia akan dengan leluasa melancarkan aksinya, tentunya dengan dampak yang sangat luar biasa. Setelah berhasil masuk hacker bisa mematikan program antivirus/antimalware di dalamnya, lalu menjalankan ransomware nya. Ada juga kasus dimana seorang hacker yang berhasil masuk melalui RDP mencuri dan menjual data-data penting di dalamnya ke dark web56.

Jangan Klik Email Sembarangan

Saat kamu menerima email, jangan klik sembarangan, karena itu bisa jadi email palsu atau mungkin juga email phishing. Cek terlebih dahulu dengan teliti apakah email tersebut valid, jika ragu kamu bisa search di Google. Misalkan kamu mendapat sebuah email dari perusahaan jasa pengiriman yang mengatakan bahwa paket kamu tidak bisa dikirimkan dan kamu diharuskan mengklik link atau attachment nya untuk tindakan lebih lanjut, padahal kamu merasa tidak pernah mengirimkan barang, maka kamu harus curiga. Karena jika ternyata benar itu adalah email palsu dan kamu klik link atau attachment berbahaya yang ada di dalamnya, maka ini bisa dijadikan pintu masuk bagi malware atau hacker untuk masuk ke sistem kamu.

Pada program mail client seperti Microsoft Outlook juga terdapat fitur dimana ia bisa memblokir attachment untuk tipe file tertentu57, misalkan .exe, .scr, .cmd, dan lain-lain. Pastikan fitur ini aktif di mail client yang kamu gunakan.

Matikan Fasilitas Macro Pada Aplikasi Office

Untuk kamu yang sehari-harinya menggunakan aplikasi Microsoft Word, Excel, dan lain sebagainya, jika kamu tidak pernah menggunakan fasilitas Macro nya, lebih baik dimatikan saja58. Karena ini dapat dimanfaatkan untuk menjalankan script macro berbahaya. Dan juga hati-hati saat bertukar dokumen dengan teman.

Jangan Download dan Install Sembarangan

Jangan download file atau install aplikasi sembarangan apalagi bajakan dan dari sumber yang tidak dapat dipercaya. Buat kamu “warga negara +62” yang masih suka download software di situs gak jelas, gemar cari crack-an di torrent, download film atau mp3 bajakan, dan hal-hal ilegal lainnya, mending stop dan jangan lakukan lagi deh. Karena ada malware yang mencoba menyamar sebagai file atau program yang kelihatannya sah, padahal tidak.

Hapus Aplikasi Yang Tidak Digunakan

Jika kamu pernah install software di komputer mu tapi tidak pernah digunakan, lebih baik uninstall saja. Daripada kamu membiarkannya begitu saja, dan mendiamkannya selama berbulan-bulan, bertahun tahun, dan software tersebut tidak pernah ter-update, dan akhirnya ditemukan celah, dan lalu celah tersebut dimanfaatkan oleh hacker jahat untuk masuk ke dalam komputer kamu. Mencegah lebih baik daripada mengobati, kan?

Lakukan Bersih-Bersih Secara Berkala

Tidak ada salahnya untuk melakukan bersih-bersih data di komputer atau hard disk kamu secara berkala. Mungkin setiap 3 bulan atau 6 bulan sekali. Kamu bisa menghapus data-data temporary atau sementara, browser cache, file installer yang sudah tidak lagi terpakai, file-file hasil download, atau data lainnya yang tidak bakalan lagi kamu gunakan.

Saya Terinfeksi Ransomware!

Bagaimana Cara Mengembalikan File Yang Terkena Ransomware?

Jika kamu orang yang rajin membuat backup, tentu hal ini bukanlah masalah, karena kamu cukup me-restore data-data tersebut dari backup yang kamu buat. Tapi bagimana bila kamu tidak pernah membuat backup terhadap data-data kamu itu? Sudah pasti kacau balau.

Ransomware yang banyak menyebar memang menggunakan beragam macam teknik. Dan sayangnya apabila teknik enkripsi yang digunakan begitu kuat, dan belum ditemukan adanya kelemahan pada ransomware tersebut, maka kita tidak bisa men-decrypt file nya dengan gratis, artinya kita tetap perlu membayar uang tebusan tadi.

Namun ada juga beberapa varian ransomware yang datanya dapat di dekripsi menggunakan decryptor yang dibuat dan disediakan secara gratis. Karena ransomware ini bukanlah hal sepele, dan bisa dikategorikan kejahatan yang luar biasa, maka dari itu perusahaan-perusahaan keamanan seperti Emsisoft, Kaspersky, Trend Micro, juga organisasi seperti The No More Ransom Project, bahkan Europol dan lembaga-lembaga penegak hukum lainnya di dunia telah bekerja sama membuat dan menyediakan beberapa decryption tools yang dapat digunakan untuk membalikan data yang telah di enkripsi oleh beberapa varian ransomware secara gratis.

Identifikasi Ransomware

Jika kamu belum mengetahui secara pasti ransomware apa yang telah menginfeksi komputer mu, maka lakukanlah identifikasi terlebih dahulu. Karena jumlah ransomware yang terlalu banyak dan kesemuanya tidaklah sama.

Pertama, silahkan masuk ke halaman ransomware decryption tools dari Emsisoft59, atau alternatif lain bisa juga melalui ID Ransomware60, kurang lebih caranya hampir sama.

Lalu upload file ransom notes, contoh file terenkripsi, dan atau email dari pembuat ransomware tersebut (alamat email ini biasanya bisa ditemukan pada isi file ransom note). Anda bisa meng-upload kesemuanya atau pilih salah satu saja. Setelah itu klik tombol Upload.

Ransom notes ini umumnya adalah sebuah file text (.txt) baru yang biasanya muncul di Desktop, folder Documents, atau di folder lain, misalkan bernama readme.txt, atau menggunakan nama yang asing atau acak.

Seteleh kamu mengupload data-data yang dibutuhkan tersebut, hasilnya nanti akan keluar, seperti nama ransomware nya, juga berikut dengan informasi singkat seputar ransomware tersebut, lalu apakah ransomware itu bisa di-decrypt atau tidak, dan apabila bisa di decrypt ia juga akan menginformasikan mu tools yang bisa kamu download untuk men-decrypt file nya.

Menghapus Ransomware dan Mengembalikan File Yang Terkena Ransomware

Sebelum kamu melakukan decrypt, pastikan ransomware nya sudah hilang dan tidak aktif. Jadi hanya menyisakan data-data file kamu saja yang dalam kondisi terenkripsi. Karena kalau ransomware nya masih ada dan aktif, maka ia akan mengenkripsi file kamu kembali, begitu terus berulang-ulang. Kamu bisa menggunakan antivirus atau antimalware untuk menghapus script atau executable ransomware itu dari sistem kamu.

Jika ransomware tersebut bisa di decrypt dan decryptor nya tersedia, sebelum kamu menjalankan tools tersebut, pastikan setidaknya kamu telah membaca dekripsi penjelasan seputar ransomware dan tools tersebut dengan seksama, berikut juga cara penggunaannya, karena mungkin berbeda antara setiap tools.

Setiap decryptor diperuntukan untuk ransomware varian tertentu, jadi tidak bisa decryptor untuk ransomware A digunakan untuk mendekripsi file yang di-encrypt oleh ransomware B, ataupun sebaliknya. Jika salah, takutnya datanya malah akan semakin menjadi rusak dan tidak bisa dikembalikan lagi. Untuk itu kamu harus berhati-hati juga dan yakin betul sebelum kamu melakukannya.

Saran saya, alangkah baiknya sebelum kamu melakukan dekripsi ataupun hal lainnya pada komputer kamu yang telah terinfeksi itu, usahakan terlebih dahulu membackup seluruh harddisk data termasuk sistem operasi yang Anda di komputer kamu, ini untuk berjaga-jaga apabila ada kesalahan yang terjadi saat proses dekripsi, atau malah misalkan kamu menghapus file kunci enkripsi yang ternyata ada di dalam sistem komputer kamu itu, maka kamu bisa membalikannya lagi ke kondisi sebelumnya.

Tidak Ada Decryptor Yang Bisa Men-decrypt File Saya?

Akan sangat membuat frustasi memang apabila ternyata tidak ada decrypter di luar sana yang bisa men-decrypt file kamu, karena seperti yang saya sudah bilang sebelumnya, tidak semua ransomware ada decryptor nya, dan kalau sudah begini memang tidak banyak pilihan yang bisa kamu lakukan.

Mungkin kamu bisa saja berfikiran untuk membayar uang tebusannya. Tapi saran saya sih untuk tidak melakukannya, tapi yah, keputusan tetap ada ditanganmu. Karena tidak ada jaminan data kamu bisa kembali dengan membayarnya. Bisa saja setelah Anda membayar namun pembuat ransomware tersebut tidak mengirimkan decryptor yang dimaksud, atau bisa juga decryptor tersebut tidak bekerja dengan baik, atau malah mengakibatkan file yang di-decrypt menjadi rusak.

References

  1. Perangkat Pemeras, https://id.wikipedia.org/wiki/Perangkat_pemeras
  2. WannaCry ransomware attack, https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
  3. Kronologi Serangan Ransomware WannaCry yang Bikin Heboh Internet, https://tekno.kompas.com/read/2017/05/15/09095437/kronologi.serangan.ransomware.wannacry.yang.bikin.heboh.internet?page=all
  4. Trojan Horse: AIDS Information Introductory Diskette Version 2.0 (PDF), https://www.virusbulletin.com/uploads/pdf/magazine/1990/199001.pdf
  5. Gpcode: the return of the file encryptor, https://securelist.com/gpcode-the-return-of-the-file-encryptor/30423/
  6. Analysis of A New Golang Ransomware Targeting Linux Systems, https://www.fortinet.com/blog/threat-research/new-golang-ransomware-targeting-linux-systems.html
  7. The Complete Guide to Mac Ransomware and How to Prevent it, https://www.avg.com/en/signal/mac-ransomware-remove-protect
  8. Android ransomware is back, https://www.welivesecurity.com/2019/07/29/android-ransomware-back/
  9. New Rumba STOP Ransomware Being Installed by Software Cracks, https://www.bleepingcomputer.com/news/security/new-rumba-stop-ransomware-being-installed-by-software-cracks/
  10. Customer Guidance for WannaCrypt attacks, https://msrc-blog.microsoft.com/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  11. Cyber Actors Increasingly Exploit The Remote Desktop Protocol To Conduct Malicious Activity, https://www.ic3.gov/media/2018/180927.aspx
  12. Security Alert: Booking.Com Fake Emails Infect Computers with Sodinokibi Ransomware, https://heimdalsecurity.com/blog/booking-com-fake-emails-sodinokibi-ransomware/
  13. RYUK Ransomware Information, https://success.trendmicro.com/solution/1123892-ryuk-ransomware-information
  14. Targeted Ransomware Attacks Show No Signs of Abating, https://www.darkreading.com/attacks-breaches/targeted-ransomware-attacks-show-no-signs-of-abating/d/d-id/1336095
  15. Rumah Sakit di Jakarta Disandera “Ransomware”, Minta Tebusan Rp 4 Juta, https://tekno.kompas.com/read/2017/05/13/13360257/rumah.sakit.di.jakarta.disandera.ransomware.minta.tebusan.rp.4.juta?page=all
  16. LA Hospital Paid 17K Ransom to Hackers of Its Computer Network, https://www.nbclosangeles.com/news/local/Hollywood-Presbyterian-Paid-17K-Ransom-to-Hackers-369199031.html
  17. Cryptography, https://en.wikipedia.org/wiki/Cryptography
  18. WhatsApp: End-to-end encryption, https://faq.whatsapp.com/general/28030015/
  19. Differences between Hash functions, Symmetric & Asymmetric Algorithms, https://www.cryptomathic.com/news-events/blog/differences-between-hash-functions-symmetric-asymmetric-algorithms
  20. Caesar Cipher, https://learncryptography.com/classical-encryption/caesar-cipher
  21. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems (PDF), http://people.csail.mit.edu/rivest/Rsapaper.pdf
  22. Elliptic Curve Cryptography (ECC) (PDF), http://informatika.stei.itb.ac.id/~rinaldi.munir/Kriptografi/2012-2013/ECC%20(2013).pdf
  23. Using Padding in Encryption, https://www.di-mgt.com.au/cryptopad.html
  24. What is Public Key Cryptography?, https://www.twilio.com/blog/what-is-public-key-cryptography
  25. WannaCry Malware Profile, https://www.fireeye.com/blog/threat-research/2017/05/wannacry-malware-profile.html
  26. CryptoLocker – a new ransomware variant, https://blog.emsisoft.com/en/1615/cryptolocker-a-new-ransomware-variant/
  27. Look Into Locky Ransomware, https://blog.malwarebytes.com/threat-analysis/2016/03/look-into-locky/
  28. New ransomware, old techniques: Petya adds worm capabilities, https://www.microsoft.com/security/blog/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
  29. NotPetya Technical Analysis – A Triple Threat: File Encryption, MFT Encryption, Credential Theft, https://www.crowdstrike.com/blog/petrwrap-ransomware-technical-analysis-triple-threat-file-encryption-mft-encryption-credential-theft/
  30. GandCrab Ransomware Puts the Pinch on Victims, https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/gandcrab-ransomware-puts-the-pinch-on-victims/
  31. Threat spotlight: CrySIS, aka Dharma ransomware, causing a crisis for businesses, https://blog.malwarebytes.com/threat-analysis/2019/05/threat-spotlight-crysis-aka-dharma-ransomware-causing-a-crisis-for-businesses/
  32. Analysis of CASE A Latest Variant of the GlobeImposter Family, https://isecurity.huawei.com/sec/web/viewBlog.do?id=1980
  33. The Shade Encryptor: a Double Threat, https://securelist.com/the-shade-encryptor-a-double-threat/72087/
  34. Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware, https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/
  35. Sodin ransomware exploits Windows vulnerability and processor architecture, https://securelist.com/sodin-ransomware/91473/
  36. Nemty Ransomware 1.0: A Threat in its Early Stage, https://www.fortinet.com/blog/threat-research/nemty-ransomware-early-stage-threat.html
  37. A deep dive into Phobos ransomware, https://blog.malwarebytes.com/threat-analysis/2019/07/a-deep-dive-into-phobos-ransomware/
  38. Command and Control [C&C] Server, https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server
  39. Cryptanalysis, https://en.wikipedia.org/wiki/Cryptanalysis
  40. Caesar Cipher, http://practicalcryptography.com/ciphers/classical-era/caesar/
  41. TeslaCrypt shuts down and Releases Master Decryption Key, https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
  42. Software Management: Security Imperative, Business Opportunity (PDF), https://gss.bsa.org/wp-content/uploads/2018/05/2018_BSA_GSS_Report_en.pdf
  43. VB100 results from 2019-10 (latest) on Windows 7 Professional, Windows 10 Professional, https://www.virusbulletin.com/testing/results/latest/vb100-antimalware
  44. 86% of Passwords are Terrible (and Other Statistics), https://www.troyhunt.com/86-of-passwords-are-terrible-and-other-statistics/
  45. Pwned Passwords, https://haveibeenpwned.com/Passwords
  46. Bitwarden, https://bitwarden.com/
  47. Dropbox, https://www.dropbox.com/
  48. Google Drive, https://www.google.com/drive/
  49. Google Photos, https://www.google.com/photos/about/
  50. Carbonite, https://www.carbonite.com/
  51. Comparison of online backup services, https://en.m.wikipedia.org/wiki/Comparison_of_online_backup_services
  52. Arq Backup, https://www.arqbackup.com/
  53. ASUS BW-16D1HT – ultra-fast 16X Blu-ray burner with M-DISC support for lifetime data backup, https://www.asus.com/us/Optical-Drives-Storage/BW16D1HT/
  54. Remote Desktop Services, https://en.wikipedia.org/wiki/Remote_Desktop_Services
  55. How to protect your RDP access from ransomware attacks, https://blog.malwarebytes.com/security-world/business-security-world/2018/08/protect-rdp-access-ransomware-attacks/
  56. 655,000 Healthcare Records Being Sold on Dark Web, https://threatpost.com/655000-healthcare-records-being-sold-on-dark-web/118933/
  57. Blocked attachments in Outlook, https://support.office.com/en-us/article/blocked-attachments-in-outlook-434752e1-02d3-4e90-9124-8b81e49a8519
  58. Enable or disable macros in Office files, https://support.office.com/en-us/article/enable-or-disable-macros-in-office-files-12b036fd-d140-4e74-b45e-16fed1a7e5c6
  59. Free Ransomware Decryption Tools, https://www.emsisoft.com/ransomware-decryption-tools/
  60. ID Ransomware, https://id-ransomware.malwarehunterteam.com/