Tahun 2015 dan 2016 tampaknya dunia IT dihujani serangan Ransomware. TeslaCrypt yang telah dideteksi ESET kembali beraksi dengan beberapa inovasi di dalam programnya. Seperti layaknya sebuah program, TeslaCrypt terus mengupgrade kemampuannya dalam tiap versi dan saat ini sudah mencapai Versi 3. Pada versi ini, lahir beberapa varian baru dengan ransom notes telah direname oleh pelaku dan file ekstension yang menjadi identitas sebuah file sudah terenkripsi sekarang adalah .MP3 .MICRO .TTT . XXX
Nama file ransom note terbaru sekarang dalam format H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].png, _H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].txt, dan_H_e_l_p_RECOVER_INSTRUCTIONS+[3-characters].HTML.
Jika komputer terinfeksi.MP3, artinya jika filename asli adalah test.jpg, setelah dienkripsi akan berubah menjadi test.jpg.mp3. Anda bisa melihat contoh file enkripsi pada gambar di bawah ini.
Selain itu masih ada varian lain meski masih dalam versi yang sama yaitu TeslaCrypt 3.0 .xxx, .ttt, .micro sama halnya seperti .MP3, keduanya menggunakan proteksi berbeda atau algoritma exchange key, sebuah metode berbeda dari key storage yang tidak dapat dipulihkan kecuali menggunakan key yang hanya diketahui oleh malware tersebut.
Seperti kasus ditemukan ESET Indonesia yang terjadi di Indonesia, dimana ransomware menyusup via email berisi weblink maupun attachment bermuatan trojan yang pada tahap selanjutnya akan terhubung ke remote URL untuk mendownload malware varian TeslaCrypt .MP3. Sehingga otomatis sistem komputer perusahaan telah tersandera oleh ransomware.
Subject email sangat mengundang pembaca untuk mengklik isi. Seperti ‘invoice’ ‘quotation’ atau ‘payment notice’. Untuk orang awan, apalagi bagian finance sangat rentan untuk terkena. Oleh karena itu, edukasi user untuk memilah email sangat diperlukan. Secara sistem, hal ini bisa dicegah dengan menggunakan antispam-antivirus seperti ESET Mail Security pada mail server sehingga sudah dilakukan filter terlebih dahulu sebelum diterima oleh user.
TINDAK PENCEGAHAN
Untuk admin IT:
Apabila seluruh jaringan komputer sudah terinstall ESET Business Edition:
- Pastikan Software ESET sudah terupdate di seluruh komputer/device
- Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari Windows
- Backup secara berkala seluruh folder berisi file data penting
- Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal
- Lakukan scan secara berkala melalui In Depth Scan (push scan melalui ESET Remote Administrator-ERA)
- Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ESET berada di dalam jaringan
- Gunakan ESET Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email)
- Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RD
Untuk user:
1. Backup secara berkala seluruh folder berisi file data penting
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal
4. Tidak mengklik weblink atau attachment yang yang tidak dikenal atau mencurigakan
5. Pastikan Software ESET di komputer Anda selalu dan sudah terupdate
Untuk tindak pencegahan lebih jelas anda bisa lihat di link dibawah ini:
- Bagaimana cara pencegahan Ransomware/Filecoder menggunakan HIPS ESET (5.x)
http://kb.eset.co.id/index.php?action=artikel&cat=1&id=203&artlang=id
- Bagaimana Cara pencegahan Ransomware/Filecoder menggunakan HIPS ESET (6.x)
http://kb.eset.co.id/index.php?action=artikel&cat=36&id=232&artlang=id
TeslaCrypt 3.0 .xxx, .ttt, .micro dan .MP3 seperti pendahulunya merupakan ransomware yang sangat berbahaya dan masih sulit ditemukan antidotenya, karena itu tindakan pencegahan harus dikedepankan sebagai upaya dini menyelamatkan seluruh data-data penting yang dimiliki, dengan mengikuti arahan pencegahan yang ESET berikan, sistem Anda akan bisa diselamatkan.