DUNIA DISANDERA RANSOMWARE LOCKY

Ransomware sedang mewabah di dunia, malware jenis ini menjadi trend di kalangan hacker untuk memeras korban penyanderaan data. Jenis yang terbaru memanfaatkan email dan menyamarkan diri sebagai invoice perusahaan berisi file Microsoft Word, apabila di klik hal buruk akan menimpa sistem komputer dan menyebabkan kerusakan fatal.

Pelaku diyakini menggunakan social engineering dengan mengadopsi eye catching dalam email spam dan website yang sudah dikondisikan untuk memancing korban menginstal ransomware mematikan yang dijuluki LOCKY ke dalam sistem mereka.

Ransomware Locky berhasil dideteksi ESET sebagai Win32/Filecoder.Locky sebuah trojan yang mengenkripsi file, removable dan network drives. Apabila file ekstension .Locky ditemukan pada network share Anda, itu artinya BENCANA karena Anda telah terinfeksi dan hanya mempunyai dua pilihan, Menginstal ulang komputer atau membayar tebusan yang kebanyakan tidak menjadi solusi karena sifatnya kejahatan ekonomi pemerasan. Ransomware Locky saat ini menyebar dengan tingkat kecepatan 4000 infeksi per jam atau 100.000 infeksi baru per hari.

Microsoft Macro is BACK

Mungkin sulit bagi kita untuk menerima kenyataan, bagaimana di awal 2016 sebuah dokumen Ms Word bisa menjadi biang keladi runtuhnya sistem komputer hanya dengan mengaktifkan ‘Macro’

Locky ransomware didistribusikan dalam bentuk invoice email attachment (file word yang ditanamkan dengan macro ganas). Dengan demikian, munculnya Locky adalah pertanda kebangkitan Macro kembali. Sebagaimana penjahat cyber menemukan cara baru menjalankan macro secara otomatis.

CARA KERJA LOCKY

Locky mengincar user dengan email dengan subject yang tersamar, seperti Invoice, Purchase Order, Payment yang akan mengundang orang untuk membuka attachment. Saat user membuka dokumen file attachment tersebut, secara otomatis akan menemukan konten dan pop up yang meminta “enable macros” serta mengaktifkan secara sadar.

BAGIAN TERBURUK

• Setelah korban ‘enables’ macro (malicious), komputer akan mendownload excutable dari remote server dan menjalankannya.
• Executable tidak lain adalah Ransomware Locky, saat mulai beraksi akan langsung mengenkripsi semua file pada komputer begitu juga dengan file yg disharing di jaringan.

Ransomware Locky mempengaruhi hampir seluruh format file dan mengenkripsi semua file dan mengganti dengan ekstension .Locky. Mengenkripsi lebih dari 100 ekstension, artinya hampir semua ekstension populer dalam komputer dapat dienkripsi seperti JPG, PNG, atau GIF, file database seperti DB, ODB, MDB atau SQLITEDB, DBF, MySQL, atau file Video seperti MP4, MOV dan FLV, untuk pemrograman JS, vbs, JAVA, file kompres ZIP, file microsoft office DOC, DOCX, XLS, XLSX, PPT, PPTX, file OpenOffice/LibreOffice dan banyak lagi.

Setelah dienkripsi, malware ransomware menampilkan pesan yang ditinggalkan dalam file _Locky_recover_instructions.txt yang isinya memberi instruksi kepada korban untuk mendownload TOR dan mengunjungi website pelaku untuk petunjuk lebih lanjut dan pembayaran. Locky meminta korban untuk membayar 0.5 dan 2 Bitcoins ($208 sampai $800) untuk mendapatkan kunci dekripsi.

Salah satu catatan yang menarik dari Locky, bahwa ransomware ini diterjemahkan dalam banyak bahasa, untuk makin meningkatkan serangannya ke berbagai penjuru dunia, sehingga bisa mendapatkan korban lebih maksimal. ESET Indonesia sendiri mendapatkan sample dalam bahasa Jepang.

LOCKY MENGENKRIPSI BACK UP FILE JARINGAN

Ransomware terbaru ini juga memiliki kemampuan untuk mengenkripsi back up file jaringan, hal ini menjadi peringatan untuk anda agar menyimpan data sensitif dan file penting pada third party storage atau offline backup sebagai cadangan untuk menghindari infeksi ransomware di masa mendatang.

TINDAKAN PENCEGAHAN

1. Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
2. Jangan langsung aktifkan macro dalam dokumen attachment yang diterima melalui email. Microsoft sudah mematikan auto-execution macro secara default sejak bertahun-tahun yang lalu sebagai langkah keamanan. Karena selama ini banyak infeksi malware mengandalkan cara dengan menyakinkan Anda untuk mengaktifkan macro, jadi jangan lakukan itu!
3. Berhati-hati terhadap unsolicited attachment. Pelaku kejahatan selalu menggunakan dilema sebagai senjata untuk mempengaruhi Anda secara psikologis, apakah harus membuka dokumen atau tidak, sementara Anda tidak tahu dokumen itu benar atau tidak. Saat ragu jangan lakukan atau konsultasi dengan tim IT Anda.
4. Pertimbangkan untuk menginstal Microsoft Office Viewers. Aplikasi Viewer memberikan kemudahan untuk melihat sebuah dokumen tanpa harus membukanya dalam Word atau Excell. Software Viewer memang dibuat khusus agar tidak support terhadap macro, untuk mencegah melakukan kesalahan secara tidak sengaja.
5. Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Malware tidak hanya datang melalui macro dokumen, seringkali ia datang mengandalkan security bug dalam aplikasi populer, termasuk Office, browser, Flash dan banyak lagi. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
6. Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
7. Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
8. Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
9. Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
10. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan
11. Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam dan Antivirus untuk mail client.
12. Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email). Saat ini di Indonesia sudah ada penyedia cloud service untuk sistem ini sehingga tidak diperlukan perangkat tambahan.
13. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP.

TINDAKAN PENANGANAN KOMPUTER YANG TIDAK DIPROTEKSI ESET:

1. Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan
2. Segera proteksi komputer/device dengan ESET agar aman menyeluruh
3. Lakukan In Depth Scan pada komputer tersebut

LOCKY DI INDONESIA

ESET mencatat penyebaran Locky di Indonesia tergolong cepat sejak mulai dideteksi pada tanggal 17 Februari 2016. Dari informasi yang didapat, penyebab utama adalah rendahnya kesadaran user dalam mengamankan data. Pada perusahaan, tidak semua komputer dalam jaringan terproteksi dengan baik sehingga jika satu komputer terkena, maka akan mencari sharing path pada komputer lain untuk mengenkrip file di dalamnya. Pastikan semua komputer dalam jaringan terproteksi optimal untuk mencegah akibat FATAL!

Referensi:

1. http://thehackernews.com/2016/02/locky-ransomware-decrypt.html
2. ESET Indonesia

Enjoy safer technology!