Di zaman internet ini, terjadi percepatan siklus bisnis seperti Samsung yang kita dengar mengalahkan Apple dalam penjualan perangkat pintar. Dalam waktu singkat sudah muncul lagi berita bahwa Samsung saat ini sudah “keteteran” dan muncul pemain baru yang menggerus pangsa pasarnya, Si Beras Kecil alias Xiaomi.
Di masa lalu, hal ini memakan waktu bertahun-tahun. Contohnya Hewlett Packard yang bercokol di peringkat pertama penjualan PC kemudian digeser oleh kompetitor lainnya.
Hal ini rupanya juga terjadi pada dunia malware. Cryptolocker, yang pembuatnya tertangkap oleh FBI pada pertengahan 2014 setelah sempat mengenkripsi dan menyandera data dari ratusan ribu komputer, dalam waktu singkat digantikan oleh belasan malware crypto yang sebenarnya mengandalkan teknik enkripsi yang tidak jauh berbeda.
Salah satu malware crypto yang sedang marak melanda Indonesia sejak pertengahan Januari 2015 adalah CTB Locker yang memakan korban belasan ribu komputer. Sama seperti Cryptolocker, malware ini merupakan ransomware yang menyandera data komputer korbannya dan meminta uang dalam bentuk mata uang bitcoin jika korbannya ingin mendapatkan datanya kembali (Gambar 1).’
 |
| Gambar 1. CTB Locker menyandera data komputer yang diinfeksinya. |
Mengapa CTB?
CTB adalah singkatan dari Curve, Tor, Bitcoin.
Curve. Ini karena metode enkripsi yang digunakan adalah teknik kriptografi kurva elips yang secara teknis lebih efisien dari kriptografi konvensional. Tor sendiri adalah metode komunikasi yang digunakan memanfaatkan TOR (The Onion Router) dan Bitcoin karena metode pembayaran ransom yang menggunakan mata uang Bitcoin.
Berdasarkan beberapa kasus yang ditemukan oleh Vaksincom di Indonesia, malware ini pada awalnya datang dalam bentuk e-mail yang mengandung lampiran terkompresi .zip (Gambar 2). Jika file dibuka, ia akan hadir dalam ekstensi .scr (screensaver) dan jika file .scr itu dijalankan (Gambar 3), ia akan langsung menjalankan aksinya menghubungi server komandonya di internet yang akan membuat dua kunci, kunci enkripsi dan kunci dekripsi.
Kunci enkripsi akan segera dikirimkan dan komputer akan menjalankan aksinya mengenkripsi data. Sementara kunci dekripsi akan disimpan di server menunggu uang tebusan dibayarkan. Sewaktu file .scr dijalankan, CTB Locker akan membuka file Wordpad guna mengelabui korbannya. Padahal di latar belakang, CTB sedang menjalankan aksinya melakukan enkripsi data pada seluruh drive yang ditemukan.
 |
| Gambar 2. CTB Locker hadir dalam bentuk e-mail terkompresi (zip). |
 |
| Gambar 3. File .scr yang jika dijalankan akan mengaktifkan CTB Locker. |
Drive yang dienkripsi dalam hal ini adalah semua drive lokal, drive partisi, dan drive mapping. Bagi yang melakukan file sharing di kantor, khususnya yang memberikan hak full access (read and write), harap lebih berhati-hati karena folder/file yang Anda share full tersebut akan ikut menjadi korban enkripsi CTB meskipun komputer Anda tidak terinfeksi oleh malware ini.
CTB yang beredar di Indonesia pada beberapa hari terakhir ini adalah versi awal dan bisa diidentifikasi dari tambahan ekstensi acak pada data yang dienkripsi (Gambar 4).
 | ||
| Gambar 4. Aksi CTB melakukan enkripsi data korbannya dan mengubah ekstensi dengan nama acak. |
CTB versi awal akan mengubah ekstensi data yang dienkripsinya menjadi CTB atau CTB2 setelah menjalankan aksinya. Sebelum CTB ditemukan Vaksincom, bahkan ada CTB yang memiliki payload ibarat salesman yang berusaha meyakinkan korbannya kalau memang ia mampu melakukan dekripsi data yang terenkripsi. CTB ini ia akan melakukan dekripsi gratis atas lima file yang telah dienkripsinya supaya korbannya percaya dan melakukan pembayaran tebusan.
CTB yang ditemui lab Vaksincom dan beredar di Indonesia memiliki aksi yang tidak biasa, yaitu file yang diincar hanya file MS Office 2003 dan tidak mengincar file MS Office versi lain. Namun tidak tertutup kemungkinan varian CTB yang lain akan melakukan aksi yang berbeda dan pada prinsipnya semua file yang menjadi korban CTB rentan dienkripsi. Karena itu, backup data penting Anda adalah hal mutlak yang harus dilakukan dari sekarang guna mencegah data Anda menjadi sandera aneka malware kriptografi pasca Cryptolocker yang jumlahnya mencapai belasan sampai hari ini.
Jika Anda menjadi korban dari CTB dan file Anda terenkripsi, pada prinsipnya melakukan dekripsi file tanpa kunci dekripsi dapat dikatakan sangat sulit (jika tidak dibilang mustahil). Satu-satunya hal yang bisa menyelamatkan data Anda adalah jika sudah melakukan backup atas data penting Anda.
Dalam beberapa kasus, Anda bisa melakukan penyelamatan data dengan melakukan data recovery karena proses CTB dalam melakukan enkripsi adalah menghapus data Anda dan jika Anda cukup beruntung (ruang sisa dalam harddisk cukup besar serta komputer tidak dihidupkan setelah proses enkripsi karena temporary file Windows yang dibuat otomatis oleh Windows akan menimpa file yang ingin di-recover), probabilitas keberhasilan recovery akan cukup besar.
Selain itu Anda juga bisa melakukan recovery dari Shadow Volume. Namun dalam varian terakhir, CTB juga melakukan penghapusan atas Shadow Volume Windows. Jika Anda pengguna Dropbox atau cloud file storage dan melakukan penyimpanan data di cloud, kabar baik bagi Anda karena Dropbox dan layanan sejenis melakukan backup secara otomatis atas semua data Anda sehingga Anda bisa mengembalikan data Anda sekalipun telah dienkripsi oleh CTB.
Untuk menghindari menjadi korban CTB, selalu lindungi komputer Anda dengan program antivirus yang andal yang mampu mendeteksi CTB dengan baik dan selalulah meng-update antivirus Anda.
Penulis: Alfons Tanujaya (Praktisi antivirus, Specialist Vaksincom) | @vaksincom
About the Author
-0.jpg&container=blogger&gadget=a&rewriteMime=image%2F*)
0 komentar: