Ransomware 101: Tanya – Jawab tentang Ransomware

1. Apa yang dimaksud dengan ransomware?

Ransomware atau ransom malware adalah istilah generik untuk semua malware yang mencegah atau membatasi user mengakses sistem dan mengenkripsi file tertentu dan meminta uang tebusan kepada user yang komputernya terinfeksi.

2. Apa saja jenis-jenis ransomware?

Secara garis besar ada dua tipe ransomware yaitu sebagai berikut:

1) Locker Ransomware (Non Enkripsi)
Locker ransomware dirancang untuk menolak akses ke sumber daya komputasi, biasanya dengan mengunci layar komputer dan kemudian meminta pengguna untuk membayar biaya untuk mengembalikan akses.

2) Crypto Ransomware (Enkripsi)
Jenis ransomware ini dirancang untuk mencari dan mengenkripsi data-data penting yang tersimpan di komputer, membuat data tidak dapat dibuka atau digunakan kecuali pengguna memperoleh kunci dekripsi. Ransomware jenis ini paling sering digunakan oleh penjahat siber.
3. Bagaimanakah ransomware jika dilihat dari metode serangannya?

Single Platform
Ransomware yang dibuat untuk menyerang satu jenis platform, seperti Windows misalnya.

Cross Platform
Yaitu ransomware yang memiliki kemampuan menyerang berbagai macam platform seperti Ransom32, Shark dan Zimbra yang mampu menginfeksi Windows, Mac OS dan Linux sekaligus.

Sistem Server
Pengembang malware menciptakan ransomware yang hanya menyerang sistem server, tujuan tentu saja menguasai jaringan komputer, sehingga sasaran yang didapat bisa dalam jumlah besar.

Situs E-Commerce
Beberapa waktu lalu sempat muncul ransomware yang mengincar Situs-situs E-Commerce, maraknya situs-situs belanja online di dunia menjadi alasan di balik hadirnya ransomware ini.

RaaS
Raas atau Ransomware as a Service, adalah metode penyerangan ransomware paling berbahaya diantara yang lainnya. Pengembang malware menjadikan ransomware sebagai franchise yang bisa digunakan oleh siapa saja, dirancang untuk mudah digunakan bahkan oleh newbie sekalipun, dengan sistem bagi hasil sangat menguntungkan bagi mereka yang mau mengoperasikan.

Android
Dengan semakin meningkatnya pengguna smartphone di seluruh dunia, tren penyimpanan data pun mengalami pergeseran, mereka yang biasa menyimpan data di dalam komputer ataupun removable media, sekarang beralih menyimpan data-data penting mereka ke dalam ponsel. Pergeseran tren ini menjadi penyebab munculnya ransomware android.

4. Seperti apakah metode penyebaran ransomware?

Ransomware menggunakan beragam cara untuk menyebar, menyusup masuk dan menginfeksi komputer yang menjadi target, berikut metode penyebaran yang sering dilakukan oleh ransomware:

Banyak ransomware menyebar dan menginfeksi melalui pengiriman email spam atau unsolicited email biasanya berisi attachment berbahaya yang kadang berwujud dalam berbagai macam rupa, salah satunya adalah file Ms. Word, PDF, atau weblink.

Menyamar sebagai update software resmi, biasanya berwujud sebagai update untuk Adobe Acrobat, Java dan Flash Player.

Android ransomware menyebar dengan menyamar atau bersembunyi sebagai aplikasi. Aplikasi-aplikasi populer seperti trending games atau pornografi yang sering dipilih oleh pengguna internet dengan tujuan untuk meningkatkan probabilitas pengunduhan malware.

Menyebar via drive by download, dengan mengunjungi link mencurigakan dan situs-situs berbahaya dan mengunduh software tidak legitimate, atau installer aplikasi dengan menjadi installer palsu

Untuk kasus game, ransomware malih rupa menjadi online tutorial dari link-link berbahaya yang apabila diunduh akan menginstal backdoor, atau berpura-pura menjadi crack untuk game baru.

Melalui Exploit Kit seperti Magnitude dan Nuclear. Penggunaan expolit kit sedang menjadi tren di dunia kejahatan bawah tanah, kasus yang paling mencolok adalah kemunculan Cerber3 yang memanfaatkan Magnitude EK untuk penyebarannya.

Melalui jaringan peer-to-peer file sharing, menyamar sebagai activation keys untuk perangkat lunak populer seperti Adobe Photoshop dan Microsoft Office.

5. Apa pengertian dari Enkripsi & Dekripsi

Bicara ransomware maka kita akan bicara tentang enkripsi dan dekripsi, dua kata yang menjadi hal paling pokok terkait dengan ransomware, berikut penjabarannya secara sederhana:

Enkripsi atau Encryption berasal dari bahasa yunani kryptos yang artinya tersembunyi atau rahasia. Dan secara sederhana Enkripsi dapat diartikan sebagai suatu proses yang digunakan untuk pengaman suatu data yang disembunyikan atau proses konversi data (plaintext) menjadi bentuk yang tidak dapat dimengerti, sehingga keamanan informasinya terjaga dan tidak dapat dibaca.

Sedangkan Dekripsi yaitu kebalikan dari proses enkripsi yaitu proses konversi data yang sudah dienkripsi (ciphertext) kembali menjadi data aslinya (Original Plaintext) sehingga dapat dibaca atau dimengerti kembali.
6. Bagaimanakah cara kerja Ransomware?
Cara kerja ransomware sebenarnya tergantung bagaimana metode penyebarannya, tetapi secara umum, ransomware mengawali serangan melalui email yang berisi attachment dengan link malicious atau berbahaya. Link tersebut adalah payload Ransomware menyamar sebagai file RAR, ZIP, DOCX, and PDF atau file image apabila link tersebut diklik akan menginstal ransomware ke dalam komputer, kemudian ransomware akan bekerja di balik layar dengan mengenkripsi file-file tertentu yang menjadi sasaran.

7. Apa yang terjadi jika komputer terinfeksi oleh Ransomware?
Komputer yang terinfeksi ransomware jenis Locker Ransomware tidak akan dapat digunakan karena malware mengunci layar komputer sehingga tidak bisa diakses, pengguna hanya bisa berinteraksi dengan ransomware dan membayar uang tebusan. Ini juga berarti akses mouse dinonaktifkan dan fungsi keyboard dibatasi hanya untuk mengetik angka untuk kode pembayaran.
Sedangkan Crypto Ransomware akan mengenkripsi file-file data tertentu dalam komputer, menampilkan ransom note / catatan tebusan meminta sejumlah uang sebagai syarat pemulihan data yang dienkripsi dan untuk mendapat kunci dekripsi, dalam beberapa kasus ransomware, pengguna diberi batas waktu sampai kapan bisa membayar, dan apabila batas pembayaran dilanggar, ransomware menghapus data-data dalam komputer secara satu persatu atau dalam jumlah besar.

8. Apakah ransomware hanya menyerang komputer dan Laptop?
Ransomware awalnya memang menyerang komputer khususnya yang menggunakan sistem operasi Windows, bahkan ada ransomware diciptakan khusus untuk menyerang konsol game, seperti TeslaCrypt pada awal kehadirannya dulu. Perkebangan jaman kemudian merubah semua itu, bukan Windows saja menjadi sasaran, Mac OS atau bahkan Linux yang terkenal dengan keamanannya berhasil ditembus oleh ransomware.
Sementara pergeseran tren pada dunia digital turut mempengaruhi perubahan pakem serangan dalam dunia kejahatan, maraknya penggunaan smartphone, membuat orang mulai menyimpan data yang biasa disimpan dalam komputer atau removable disk beralih ke ponsel mereka, hal ini yang mengundang para pengembang malware untuk menciptakan ransomware android, sebuah ransomware yang khusus ditujukan untuk pengguna smartphone.

9. Apakah korban harus membayar?
Dalam banyak kasus, korban infeksi Ransomware membayar tebusan. Sekarang bayangkan jika Anda tidak punya backup data, bagaimana Anda dapat mengembalikan file-file perusahaan atau file-file penting lainnya. Jadi bisa saja seseorang kemudian menganggap membayar tebusan adalah solusi terbaik untuk mendapatkan akses ke data yang disandera.
Namun dengan mengetahui bagaimana cara kerja ransomware, seharusnya semua pengguna baik korporasi maupun pribadi mulai melakukan pengamanan dengan menyiapkan back up data sebagai tindakan preventif menghadapi serangan ransomware sehingga apabila data disandera ransomware, aktifitas perusahaan masih dapat berjalan karena data-data tetap aman dalam penyimpanan cadangan.

10. Adakah jaminan jika membayar tebusan data-data yang disandera akan dikembalikan?
Tidak ada! Jangan pernah percaya pada segala hal yang bernama kejahatan, karena dalam banyak kejadian berkaitan dengan pembayaran uang tebusan ransomware, penjahat siber seringkali ingkar janji, walaupun uang tebusan sudah dibayar mereka kerap kali tidak memberikan kunci dekripsi untuk pemulihan data, di kasus yang berbeda, mereka memberikan kunci dekripsi tetapi tidak dapat digunakan sebagaimana mestinya.
Jadi jangan pernah sekalipun membayar meski komputer Anda tersandera oleh ransomware, membayar mereka sama saja kita mendukung kegiatan kejahatan mereka, dan membuat mereka terus melakukan kejahatan yang sama berulangkali bahkan mereka dapat mengembangkan ransomware-ransomware baru dengan menggunakan uang tebusan yang kita bayarkan. Sekali lagi, jangan pernah bayar!

11. Apakah ransomware bisa ditaklukan
Para peneliti keamanan di seluruh dunia masih terus bekerja keras melawan setiap kejahatan dunia maya apakah yang disebabkan oleh ransomware ataupun yang lain, sejauh ini sudah banyak ransomware yang berhasil ditaklukan, yang paling prestise adalah saat peneliti ESET berhasil membuat kunci dekripsi untuk ransomware TeslaCrypt yang merupakan ransom malware paling ganas diantara yang lainnya dengan berbagai varian yang sempat menjadi momok menakutkan di dunia maya. Tetapi dengan adanya TeslaCrypt Decryptor dari ESET, akhirnya TeslaCrypt dapat ditaklukan.
Namun demikian sampai sekarang masih banyak ransomware yang berkeliaran secara bebas di internet, bahkan banyak yang didistribusikan secara masif sebagai RaaS (Ransomware as a Service), karena itu pengguna komputer harus selalu waspada dan berhati-hati setiap kali berselancar, dan gunakan selalu antivirus komprehensif seperti ESET sebagai palang pintu pertahanan keamanan perangkat Anda.

12. Lantas, langkah apa yang harus dilakukan untuk terhindar dari serangan ransomware?
Untuk terhindar dari serangan ransomware dan segala tipu daya yang digunakan oleh pengembang malware untuk menginfiltrasi sistem perangkat yang kita miliki ada beberapa langkah mitigasi yang bisa dilakukan, sebagai berikut:

Untuk user:

1. . Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
2.  Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
3.  Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
4.  Jangan langsung aktifkan macro dalam dokumen attachment yang diterima melalui email. Microsoft sudah mematikan auto-execution macro secara default sejak bertahun-tahun yang lalu sebagai langkah keamanan. Karena selama ini banyak infeksi malware mengandalkan cara dengan menyakinkan Anda untuk mengaktifkan macro, jadi jangan lakukan itu!
5.  Berhati-hati terhadap unsolicited attachment. Pelaku kejahatan selalu menggunakan dilema sebagai senjata untuk mempengaruhi Anda secara psikologis, apakah harus membuka dokumen atau tidak, sementara Anda tidak tahu dokumen itu benar atau tidak. Saat ragu jangan lakukan atau konsultasi dengan tim IT Anda.
6. Pertimbangkan untuk menginstal Microsoft Office Viewers. Aplikasi Viewer memberikan kemudahan untuk melihat sebuah dokumen tanpa harus membukanya dalam Word atau Excell. Software Viewer memang dibuat khusus agar tidak support terhadap macro, untuk mencegah melakukan kesalahan secara tidak sengaja.
7. Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Malware tidak hanya datang melalui macro dokumen, seringkali ia datang mengandalkan security bug dalam aplikasi populer, termasuk Office, browser, Flash dan banyak lagi. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
8.  Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
9. Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
10. Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
11. Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
12. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan.
13.  Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam dan Antivirus untuk mail client.
14.  Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email). Saat ini di Indonesia sudah ada penyedia cloud service untuk sistem ini sehingga tidak diperlukan perangkat tambahan.
15. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP.
16. Pastikan Software ESET di komputer Anda selalu dan sudah terupdate.

Untuk admin IT:
Apabila seluruh jaringan komputer sudah terinstall ESET Business Edition:

1. Pastikan Software ESET sudah terupdate di seluruh komputer/device.
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari Windows.Backup secara berkala seluruh folder berisi file data penting.
3. Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal.
4. Lakukan scan secara berkala melalui In Depth Scan (push scan melalui ESET Remote Administrator-ERA).
5. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ESET berada di dalam jaringan.
6. Gunakan ESET Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email).
7. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih
   strict untuk RD.

TINDAKAN PENANGANAN KOMPUTER YANG TIDAK DIPROTEKSI ESET:

1.  Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan.
2.  Segera proteksi komputer/device dengan ESET agar aman menyeluruh.
3. Lakukan In Depth Scan pada komputer tersebut.

ESET jauh-jauh hari sudah memprediksi mengenai trend serangan yang mungkin terjadi pada tahun 2016, bagaimana ransomware adalah salah satu ancaman yang menjadi fokus perhatian, karena perkembangannya yang sangat cepat dan bervariasi. Oleh karena itu untuk menanggulangi krisis yang akan terjadi kami semenjak dini sudah menyiapkan langkah-langkah preventif berdasarkan prioritas seperti yang kami tuangkan dalam tindakan pencegahan diatas, kami juga menyakini bahwa melalui langkah yang sistematis maka setiap serangan ransomware yang datang akan dapat diatasi dengan baik.

13. Adakah solusi keamanan yang memiliki program anti ransomware?
PANDUAN UNTUK PENGGUNA ESET BUSINESS EDITION
Dengan memblokir metode infeksi ransomware (dengan JavaScript dropper), Maka pengaturan tambahan ini mampu mencegah malware berbahaya untuk memulai pengunduhan. Pendekatan ini terbukti sangat efisien. Anda dapat mengunduh dan menerapkannya menggunakan ESET Remote Administration.
Pengaturan pada ESET Mail Security untuk Ms Exchange Server
Dengan pengaturan antispam yang tepat, email masuk akan disaring terlebih dahulu pada mail server. Ini untuk memastikan bahwa attachment berisi dropper berbahaya tidak akan dikirim kedalam mailbox end user dan ransomware tidak akan memiliki kesempatan untuk melakukan eksekusi.
Untuk pencegahan ransomware/filecoder menggunakan firewall ESET, silakan ikuti panduan pada link ini http://kb.eset.co.id/index.php?solution_id=1249

Pengaturan pada Endpoint Security
ESET Endpoint Security mampu mencegah pengunduhan malware karena adanya integrasi dengan Firewall sehingga dropper dengan maliciouss code tidak akan bisa dieksekusi.
Dengan menerapkan pengaturan Firewall yang benar, ESET Endpoint Security akan memblokir pengunduhan payload berbahaya dan menolak akses scripting lainnya ke internet
Untuk menghentikan Ransomware/filecoder menggunakan Firewall ESET, silahkan ikuti panduan pada link berikut http://kb.eset.co.id/index.php?solution_id=1246

Pengaturan HIPS untuk Endpoint Security & Endpoint Antivirus
Host-based Intrusion Prevention System (HIPS) dapat dimanfaatkan untuk melindungi sistem dari dalam dan mampu memutus tindakan yang tidak sah dari proses sebelumnya yang dieksekusi dengan melarang pelaksanaan standar JavaScript dan script lainnya, Ransomware tidak diberi kesempatan untuk menjalankan malware apalagi mengunduhnya.
HIPS adalah bagian integral dari ESET File Security for Windows Server, ESET Endpoint Antivirus dan ESET Endpoint Security, sehingga menjadi solusi tak terbantahkan untuk setiap server dan workstation, dan tidak akan ada mengistimewakan script legitimate di area produksi.
Untuk mencegah dan menghentikan Ransomware/filecoder menggunakan HIPS ESET, silakan ikuti panduan pada link ini http://kb.eset.co.id/index.php?solution_id=1247

PANDUAN UNTUK PENGGUNA ESET HOME EDITION
ESET Anti Ransomware Setup juga dapat diimplementasikan oleh pengguna ESET Home Edition dengan memanfaatkan HIPS yang ada pada ESET NOD32 Antivirus dan ESET Smart Security. Konfigurasi pengaturan anti ransomware setup yang diunduh akan mampu membendung setiap upaya infiltrasi malware yang mencoba mengakuisisi sistem, menghentikan serangan jauh sebelum masuk ke sistem sehingga terhindar dari dampak mematikan.
Dirancang dengan tampilan sederhana dan mudah diterapkan, konfigurasi pengaturan dapat dioperasikan oleh siapapun termasuk mereka yang awam. Untuk mendapatkan penjelasan lebih detil dan mengunduh konfigurasi pencegahan ransomware. Anda bisa mendapatkannya di link berikut http://kb.eset.co.id/index.php?solution_id=1250

Sumber berita :

https://www.facebook.com/notes/eset/ransomware-101-tanya-jawab-tentang-ransomware-untuk-user-komputer-dan-smartphone/778887448812525