Serangan Ransomware dan Bagaimana Menanganinya

Banyak pembicaraan tentang ransomware dalam berita belakangan ini. Agak mengejutkan betapa sedikitnya orang mengetahui apa artinya dan apa yang terjadi jika Anda terserang.

Berikut ini adalah ringkasan atas langkah-langkah yang dapat Anda ambil untuk memproteksi diri Anda dan apa yang perlu dilakukan bila kondisi terburuk berlangsung.

Apakah Ransomware itu?

Ransomware merupakan sebuah kelompok program jahat/malware yang digunakan untuk mencoba mengeruk uang dari korban-korbannya – dengan menjadikan mereka sebagai tebusan. Sebagian besar programnya dirancang untuk bersembunyi diam-diam dalam sistem Anda dan pelan-pelan mengenkripsi berkas-berkas Anda. Hanya setelah mereka selesai mengenkripsi baru mereka memberikan pemberitahuan maut – entah itu untuk membayar atau kehilangan berkas-berkas Anda selamanya.

Tak ada sistem keamanan yang sempurna. Malware menunjukkan berada satu langkah di depan dalam bidang ini. Jika dan saat Anda terserang, berikut beberapa petunjuk bermanfaat untuk membantu Anda:

Langkah 1: Meminimalkan kerusakan

Pertama-tama, mengisolasi sistem yang sudah terjangkit, terutama bila sistem itu terkoneksi ke jaringan Anda jadi Anda mencegah sistem lainnya menjadi terinfeksi.

Bila Anda seorang administrator TI dan server Anda terinfeksi, putuskan semua kabel-kabel Ethernet.

Jangan mencoba mencadangkan dengan menyalin berkas-berkas ke penyimpanan eksternal. Anda mungkin berpikir ide yang baik untuk menyimpan berkas-berkas yang masih belum terenkripsi, tetapi berkas itu dapat menyebarkan malware. Saat Anda memasukkan cakram/USB ke komputer terinfeksi, malware-nya bisa menyalin dirinya berulang-ulang kali ke drive yang baru dimasukkan.

Saat cakram/USB dimasukkan ke beberapa komputer lain, malware bisa menginfeksi sistem itu juga. Atau lebih buruk lagi, Anda pada akhirnya menginfeksi ulang sistem Anda sendiri setelah berusaha keras membersihkannya. Jadi, yang terbaik adalah hanya mengarantina komputer terinfeksi.

Langkah 2: Mengidentifikasi tipe dari ransomware

Ada berbagai macam tipe ransomware, beberapa lebih berbahaya dan sulit untuk ditangani daripada yang lainnya. Anda bisa menggunakan berbagai strategi untuk menyingkirkannya tergantung dari tipe dan sifat serangannya. Jenis yang paling umum berada di bawah kelompok ini:

1. Antivirus Scareware/Palsu
   Scareware, juga dikenal sebagai antivirus palsu, merupakan kelompok malware yang menipu pengguna agar mempercayai kalau ada sesuatu yang salah pada sistem mereka.
   Mereka lalu perlu membeli beberapa perangkat lunak lain untuk membersihkannya. Tentu saja, tidak ada yang salah dengan komputer ini dan lebih sering daripada tidak, adalah untuk membeli lebih banyak perangkat lunak dibandingkan dengan akibat dari infeksi yang sesungguhnya.
   Dalam banyak kasus, cara kerjanya dengan menampilkan pesan pop up yang memberitahukan masalah seperti ditemukannya virus, sistem lambat atau masalah register untuk dibereskan dalam teks-teks besar di tengah layar. Scareware ini juga berisi pancingan klik yang mengalihkan pengguna ke situs web malware bahkan saat pop up ditutup. Berikut ini gambarnya:
   Scareware mungkin yang paling mudah dari semua malware untuk ditangani. Tutup saja tab peramban Anda dan pop up itu akan lenyap. Bila Anda mendapatkan pop up di sistem operasi, Anda mungkin perlu mengidentifikasi biang kerok berkas eksekusinya menggunakan Task Manager atau penjelajah proses lanjutan. Kemudian, cukup hapus atau lepas pemasangannya. Bila Anda masih tetap mendapatkan masalah, pindai dengan antivirus atau program anti malware.
2. Ransomware Layar Terkunci
   Kelompok ransomware ini tidak mengizinkan Anda untuk menjalankan komputer Anda hingga Anda membayar tebusan. Dalam kebanyakan kasus, jendela layar penuh menampilkan berita peringatan. Itu mungkin mengaku dari FBI berkenaan dengan unduhan ilegal pada konten online. Pada kasus lainnya, gambar pornografi dipasang sebagai penghias dinding yang tidak dapat diganti. Dengan maksud mempermalukan korban agar membayar uang. Program yang lebih canggih melacak aktivitas pengguna selama beberapa hari dan menampilkan pemberitahuan yang sudah disesuaikan agar lebih meyakinkan dan lebih mengintimidasi. Berikut ini contohnya:
   Bila Anda terinfeksi oleh salah satu dari malware tersebut, cobalah untuk mengidentifikasi berkas eksekusinya yang menjadi penyebab. Dalam banyak kejadian, cukup tekan CTRL + ALT + DEL akan membawa Anda ke Task Manager dan program itu dapat ditutup.
   Bahkan setelah Anda menghapus berkas eksekusinya, paling bagus Anda menjalankan pemindaian penuh antivirus untuk membuang jejak-jejak yang tersisa. Bila pemecahan ini tidak berhasil, Anda mungkin perlu memulihkan atau memasang kembali Windows untuk mengembalikannya ke kondisi sebelumnya saat malware belum bercokol atau masih inkubasi.
3. Ransomware Enkripsi berkas
   Ransomware kelompok terakhir dan paling berbahaya adalah program yang mengenkripsi semua berkas Anda dan membuatnya tidak dapat dipakai terkecuali Anda membayar tebusan pada pihak pemeras. Khususnya, mereka akan memasuki sistem korban dan secara diam-diam mulai mengenkripsi semua berkas sehingga menjadi tidak berguna.
   Setelah selesai, mereka akan meminta pembayaran untuk mendekripsinya kembali. Sekarang ini, mata uang kripto seperti bitcoin dan anonimitas yang disediakannya merupakan cara paling sempurna bagi para penyerang untuk mendapatkan pembayaran. Ini adalah gambar yang dilihat oleh pengguna terserang Wannacry:
   Barang kali pantas juga untuk dipahami bagaimana sesungguhnya cara kerja enkripsi. Ini bisa membantu Anda mendapatkan petunjuk bagaimana Anda mendekripsi berkas Anda kembali.
   Kebanyakan program menggunakan kombinasi simetris dan asimetris saat mereka berjalan (klik di sini untuk informasi lebih lengkap tentang jenis-jenis enkripsi). Enkripsi simetris bermanfaat sebab enkripsi ini memungkinkan penyerang untuk mengenkripsi berkas dengan lebih cepat dibandingkan yang asimetris. Namun, enkripsi asimetris, berarti penyerang hanya harus melindungi satu kunci privat saja. Kalau tidak, mereka akan perlu menjaga dan memproteksi kunci-kunci simetris untuk semua korban.

Command and control servers (C&C=server perintah dan kontrol) secara umum digunakan untuk komunitas program. Inilah bagaimana ransomware mengenkripsi berkas menggunakan baik enkripsi simetris atau asimetris untuk melakukan serangan:

• Sebuah kunci privat-publik dihasilkan pada sisi penyerang menggunakan salah satu dari algoritma enkripsi asimetris yang tersedia seperti RSA-256.
• Kunci privat diproteksi oleh penyerang sedangkan yang publik ditanamkan dalam program ransomware.
• Sebuah sistem korban baru diinfeksi oleh ransomware. Ransomware ini mengirimkan informasi bersama dengan ID sistem unik atau ID korban ke server C&C.
• Menggunakan salah satu algoritma enkripsi simetris (mis. AES), server menciptakan dan mengirimkan kunci simetris khusus untuk sistem korban. Kunci simetris kemudian dienkripsi menggunakan yang privat.
• Progam ransomware memakai kunci publik tertanam untuk mendekripsi yang simetris - yang kemudian mulai mengenkripsi semua berkas.

Nah, sekarang Anda mengerti bagaimana sesungguhnya cara operasi ransomware, mari kita lihat pilihan Anda saat sistem Anda terinfeksi

Langkah 3: Putuskan strateginya

Kita sudah membahas di atas metode menghapuskan dua kelompok ransomware yang pertama dengan cukup mudah.

Program-program enkripsi berkas lebih sukar untuk dilawan. Pertama, Anda harus mengidentifikasi tipe dari ransomware yang sedang Anda hadapi. Informasi tentang program paling baru mungkin lebih langka sebab program baru ditulis setiap hari. Tetapi dalam kebanyakan kasus, Anda semestinya dapat mengidentifikasinya dengan sedikit penelitian.

Cobalah untuk mengambil tangkapan layar pada permintaan tebusan dan kemudian lakukan pencarian gambar untuk mengidentifikasi tipe sebenarnya dari ransomware. Anda juga bisa mencari frasa yang digunakan dalam teks permintaannya.

Pertimbangan ya atau tidak Anda ingin membayar tebusannya. Meskipun tidak disarankan Anda untuk membayar si penyerang sebab itu hanya akan membesarkan hati mereka, terkadang data-data Anda terlalu sensitif atau penting untuk hilang. Gunakan pertimbangan Anda dan jangan membayar hingga benar-benar terpaksa.

Dalam skenario paling buruk, tentunya, Anda sebaiknya mempertimbangkan kalau tidak ada jaminannya Anda akan mendapatkan kembali data Anda bahkan setelah membayar.

Langkah 4: Ambil langkah

Bila Anda dapat mengidentifikasi secara mendetail ransomware yang menginfeksi komputer Anda, cari cara untuk membuangnya dengan pencarian di web. Kode malware selalu tidak efisien. Pengembangnya mungkin terlupa untuk menghapuskan kunci enkripsi dari program yang mengambilnya dan mendekripsi berkasnya.

Bila ransomware cukup terkenal dan ada celah kelemahannya, Anda semestinya dapat menemukan tutorial dan panduan online untuk menghapusnya langsung di situs seperti nomoreransom.org.

Karena banyak program ransomware hanya menghapuskan berkas asli setelah mengenkripsi salinannya, akan ada kemungkinan untuk memulihkan berkas menggunakan perangkat lunak pemulihan data. Ketika Anda menghapuskan sebuah berkas, itu tidak terhapus secara fisik dari cakram penyimpanan kecuali ditindih oleh berkas lain. Karenanya, seharusnya ada kemungkinan untuk memulihkan data-data penting menggunakan perangkat lunak pemulihan gratis.

Kalau tak satu pun yang berhasil, keputusan harus dibuat. Bayar tebusan atau kehilangan data. Bahkan jika Anda membayar, data Anda tidak terjamin. Itu sepenuhnya memerlukan pertimbangan apakah Anda percaya dengan niat baik penyerang.

Anda juga dapat mencoba untuk berunding dengan penyerang menggunakan alamat email yang disediakan dalam permintaan tebusan. Anda akan terkejut kalau cara ini sering kali berhasil.

Bila Anda memutuskan untuk membayar tebusannya, langkah berikutnya adalah untuk membersihkan PC Anda tetapi Anda AKAN kehilangan data Anda selamanya. Bila Anda sudah memiliki cadangan pada penyimpanan eksternal, JANGAN menyambungkannya dengan PC Anda sebelum format selesai seluruhnya.

Cara terbaik untuk membersihkan ransomware adalah dengan memformat total OS Anda. Apabila Anda tidak ingin mengambil langkah yang sedemikian drastis, pastikan kalau ransomware tidak menginfeksi sektor booting. Anda akan menemukan informasi tentang ini di Internet.

Berikutnya, perbarui antivirus Anda dan lakukan pindai mendalam lengkap pada sistem Anda. Ide yang bagus juga untuk melengkapi antivirus dengan program anti malware untuk proteksi lengkap. Ini bisa menghapuskan benar-benar ransomware.

Langkah 5: Tanya jawab

Sekarang Anda sudah menyingkirkan ransomware Anda, kini saatnya untuk melihat pada dasarnya mengapa Anda diserang. Seperti yang pernah dikatakan oleh orang bijak: “Mencegah adalah lebih baik dari mengobati” dan ini berlaku juga untuk keamanan online lebih dari yang lain-lainnya. Sebuah pertahanan hanyalah sejauh persiapan pengguna, dan dengan proteksi yang tepat, sukar bagi malware apa saja untuk menyerang.

Waspadalah dan selalu camkan pokok-pokok ini dalam hati:

• Selalu menjaga antivirus Anda paling mutakhir
• Selalu memeriksa URL dari situs web yang Anda kunjungi.
• Jangan menjalankan program yang tak dapat dipercaya pada sistem Anda. Hal-hal seperti crack, serial, tambal sulam dll. merupakan sumber dari malware yang paling lazim.
• Jangan biarkan situs tak terpercaya untuk menjalankan konten yang bisa dieksekusi dalam peramban Anda (malware bisa berasal dari teknik yang dikenal sebagai serangan yang diaktifkan Java
• Jagalah Sistem Operasi Anda agar mutakhir. Malware, termasuk ransomware, sering kali tersebar melalui kelemahan keamanan yang tidak ditambal dalam sistem operasi lebih lama. Peretasan, contohnya, dapat mengeksploitasi kesalahan dalam perangkat lunak RDP Windows untuk mendapatkan akses ke sistem yang terkoneksi ke internet dan mengeksekusi malware.