Dalam tiga minggu terakhir pengembang ransomware Locky sudah tiga kali merilis varian yang berbeda, dua minggu lalu mereka luncurkan varian Diablo6, lalu minggu berikutnya hadir Locky Lukitus dan sekarang mereka muncul kembali dalam dengan varian yang memiliki ekstensi .ykcol saat mengenkripsi file.
Jadi yang perli diingat adalah jika terinfeksi oleh ransomware ini, Anda bukan sedang terinfeksi oleh ransowmare Ykcol seperti yang beberapa situs kabarkan, tetapi oleh ransomware Locky yang menggunakan ekstensi .ykcol.
Varian ini didistribusikan melalui email spam yang memiliki baris subjek Status faktur, yang berisi lampiran 7zip, atau 7z. Lampiran ini berisi file VBS, yang bila dijalankan akan mengunduh Locky yang dapat dieksekusi dari jarak jauh dan menjalankannya.
Penggunaan lampiran memanfaatkan 7z atau 7zip mungkin agak tidak biasanya dilakukan mengingat tidak semua penerima email memiliki software yang diperlukan untuk membukanya, meskipun mereka bisa saja mengunduh software tersebut di internet. Tapi trik ini sepertinya digunakan untuk melewati banyak filter ketat yang diberlakukan baru-baru ini oleh Gmail dan layanan email lainnya.
Cara Kerja Ykcol
Penyebaran atau distribusi melalui email sudah menjadi kebiasaan umum di kalangan penjahat bawah tanah, karena cara ini dinilai masih sangat efektif dan sangat mudah dilakukan, karena itu Locky Ykcol juga menggunakan cara konvensional ini untuk menipu korbannya,
Email yang dikirim secara masif dan meluas ini mencari sasaran secara random, dan apabila diterima dan dibuka oleh korban lalu mengklik tautan yang berisi file 7zip, berisi file VBS yang begitu aktif akan langsung mengunduh file Locky dari server C2 pelaku.
Setelah file diunduh dan dijalankan, komputer akan memindai file dan mengenkripsinya menggunakan algoritma enkripsi RSA-2048 dan AES-128. Ketika varian Locky mengenkripsi file, file tersebut akan mengubah nama file dan kemudian menambahkan .ykcol. Saat mengganti nama file, ia menggunakan format [first_8_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [next_4_hexadecimal_chars_of_id] – [4_hexadecimal_chars] – [12_hexadecimal_chars] .ykcol.
Ini berarti bahwa sebuah file bernama coba.jpg akan dienkripsi dan diberi nama seperti E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.ykcol.
Setelah Locky telah selesai mengenkripsi komputer korban, ia akan menghapus executable yang diunduh dan menampilkan ransom note yang menyediakan informasi bagaimana cara membayar uang tebusan. Saat ini nama ransom note untuk versi ini telah berubah menjadi ykcol.htm dan ykcol.bmp. Sementara besaran nilai uang tebusan yang diketahui dari situs pembayaran TOR Locky Decryptor menetapkan uang tebusan sebesar 0,25 BTC atau sekitar $1,025 USD setara dengan 13,5 juta rupiah.
Untuk mendekripsi file yang terjangkit Locky Ykcol masih belum ditemukan decryptornya, satu-satunya cara untuk memulihkan file terenkripsi adalah melalui backup, atau jika Anda sangat beruntung, melalui Shadow Volume Copies. Meskipun Locky berusaha menghapus Shadow Volume Copies, Dalam kasus tertentu, infeksi ransomware gagal melakukan penghapusan tersebut entah karena alasan apa. Karena itu, jika tidak memiliki backup, maka ESET menyarankan pengguna mencoba upaya terakhir untuk memulihkan file terenkripsi dari Shadow Volume Copies.
Mencegah Locky dan Ransomware Lain
Mencegah selalu lebih baik dari mengobati, untuk melakukannya terhadap Locky dan varian-variannya ataupun ransomware yang lain, penting bagi pengguna komputer untuk membiasakan diri dengan kebiasaan berselancar yang baik dan aman. Rutinitas keamanan yang baik dalam aktivitas internet akan menjadi langkah awal mencegah serangan ransomware. Berikut tips lain dari ESET bagaimana menghindari bahaya ransowmare:
- Sejak awal kemunculan ransomware berkali-kali ESET selalu mengingatkan para pengguna komputer di dunia untuk selalu melakukan backup file, karena ini cara mengembalikan data yang paling efektif jika ransomware berhasil menginvasi.
- Jangan pernah membuka email dari pengirim yang tidak dikenal, jika kemudian merasa email tersebut penting atau berkaitan dengan petinggi perusahaan, ada baiknya menghubungi pengirim melalui media yang berbeda. seperti melalui telepon untuk memastikan kebenaran email tersebut.
- Gunakan Mail Security untuk memindai isi email sebelum memasuki sistem perusahaan, Mail Security dapat mengklasifikasi apakah email yang diterima berbahaya atau tidak, selain itu, pengguna juga bisa melihat isi file dengan aplikasi ini.
- Pastikan untuk selalu update atau patch sistem operasi setiap kalai ada pembaruan, termasuk juga seluruh aplikasi yang terinstal dalam komputer atau laptop, terutama program seperti Java, Flash dan Adobe reader atau program lawas yang cenderung memiliki kerentanan yang dapat disusupi oleh malware.
- Untuk lebih memastikan keamanan file yang tersimpan di dalam komputer atau laptop, gunakan pengamanan dengan software encryption, seperti ESET Endpoint Encryption, yang berfungsi menyandikan seluruh file sehingga tidak akan dapat dibaca oleh siapa pun kecuali yang memiliki kunci dekripsinya.
- Lapisan keamanan yang lain yang bisa ditambahkan untuk mengunci komputer agar tidak mudah diterobos masuk oleh peretas atau pengembang malware adalah Secure Authentication atau 2FA. Dua faktor otentikasi adalah pelapis keamanan yang mengharuskan seseorang memasukkan dua verifikasi menggunakan dua media yang berbeda.
- Yang terakhir tapi paling penting, yaitu memasang antivirus dan antimalware yang komprehensif sehingga dapat mendeteksi semua serangan siber yang masuk, dan super ringan, agar tidak membebani kinerja komputer saat dioperasikan.
Sumber berita:
https://www.bleepingcomputer.com/
