Ransomware sedang mewabah di dunia, malware jenis ini menjadi trend
di kalangan hacker untuk memeras korban penyanderaan data. Jenis yang
terbaru memanfaatkan email dan menyamarkan diri sebagai invoice
perusahaan berisi file Microsoft Word, apabila di klik hal buruk akan
menimpa sistem komputer dan menyebabkan kerusakan fatal.
ESET sendiri SUDAH MENDETEKSI Ransomware ini sejak 17 Februari 2016,
jadi dapat dipastikan saat ini semua komputer yang DIPROTEKSI ESET dan
selalu mendapatkan UPDATE TERAKHIR akan AMAN. Jika masih ada komputer
yang belum diinstall ESET silakan hubungi tim BakoelESET sebelum
dihampiri wabah mematikan ini
Waspada ransomware LOCKY
Pelaku diyakini menggunakan social engineering dengan mengadopsi eye catching
dalam email spam dan website yang sudah dikondisikan untuk memancing
korban menginstal ransomware mematikan yang dijuluki LOCKY ke dalam
sistem mereka.
Ransomware
Locky berhasil dideteksi ESET sebagai Win32/Filecoder.Locky sebuah
trojan yang mengenkripsi file, removable dan network drives. Apabila
file ekstension .Locky ditemukan pada network share Anda, itu artinya
BENCANA karena Anda telah terinfeksi dan hanya mempunyai dua pilihan,
Menginstal ulang komputer atau membayar tebusan yang kebanyakan tidak
menjadi solusi karena sifatnya kejahatan ekonomi pemerasan. Ransomware Locky saat ini menyebar dengan tingkat kecepatan 4000 infeksi per jam atau 100.000 infeksi baru per hari.
Microsoft Macro is BACK
Mungkin
sulit bagi kita untuk menerima kenyataan, bagaimana di awal 2016 sebuah
dokumen Ms Word bisa menjadi biang keladi runtuhnya sistem komputer
hanya dengan mengaktifkan ‘Macro’
Locky
ransomware didistribusikan dalam bentuk invoice email attachment (file
word yang ditanamkan dengan macro ganas). Dengan demikian, munculnya
Locky adalah pertanda kebangkitan Macro kembali. Sebagaimana penjahat
cyber menemukan cara baru menjalankan macro secara otomatis.
CARA KERJA LOCKY
Locky mengincar user dengan email dengan subject yang tersamar, seperti Invoice, Purchase Order, Payment yang akan mengundang orang untuk membuka attachment. Saat user membuka dokumen file attachment tersebut, secara otomatis akan menemukan konten dan pop up yang meminta “enable macros” serta mengaktifkan secara sadar.
BAGIAN TERBURUK
Setelah korban ‘enables’ macro (malicious), komputer akan mendownload excutable dari remote server dan menjalankannya.
Executable
tidak lain adalah Ransomware Locky, saat mulai beraksi akan langsung
mengenkripsi semua file pada komputer begitu juga dengan file yg
disharing di jaringan.
Ransomware
Locky mempengaruhi hampir seluruh format file dan mengenkripsi semua
file dan mengganti dengan ekstension .Locky. Mengenkripsi lebih dari 100
ekstension, artinya hampir semua ekstension populer dalam komputer
dapat dienkripsi seperti JPG, PNG, atau GIF, file database seperti DB,
ODB, MDB atau SQLITEDB, DBF, MySQL, atau file Video seperti MP4, MOV dan
FLV, untuk pemrograman JS, vbs, JAVA, file kompres ZIP, file microsoft
office DOC, DOCX, XLS, XLSX, PPT, PPTX, file OpenOffice/LibreOffice dan
banyak lagi.
Setelah
dienkripsi, malware ransomware menampilkan pesan yang ditinggalkan
dalam file _Locky_recover_instructions.txt yang isinya memberi instruksi
kepada korban untuk mendownload TOR dan mengunjungi website pelaku
untuk petunjuk lebih lanjut dan pembayaran. Locky meminta korban untuk
membayar 0.5 dan 2 Bitcoins ($208 sampai $800) untuk mendapatkan kunci
dekripsi.
Salah
satu catatan yang menarik dari Locky, bahwa ransomware ini
diterjemahkan dalam banyak bahasa, untuk makin meningkatkan serangannya
ke berbagai penjuru dunia, sehingga bisa mendapatkan korban lebih
maksimal.
TINDAKAN PENCEGAHAN
Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
Jangan
langsung aktifkan macro dalam dokumen attachment yang diterima melalui
email. Microsoft sudah mematikan auto-execution macro secara default
sejak bertahun-tahun yang lalu sebagai langkah keamanan. Karena selama
ini banyak infeksi malware mengandalkan cara dengan menyakinkan Anda
untuk mengaktifkan macro, jadi jangan lakukan itu!
Berhati-hati terhadap unsolicited attachment. Pelaku
kejahatan selalu menggunakan dilema sebagai senjata untuk mempengaruhi
Anda secara psikologis, apakah harus membuka dokumen atau tidak,
sementara Anda tidak tahu dokumen itu benar atau tidak. Saat ragu jangan
lakukan atau konsultasi dengan tim IT Anda.
Pertimbangkan
untuk menginstal Microsoft Office Viewers. Aplikasi Viewer memberikan
kemudahan untuk melihat sebuah dokumen tanpa harus membukanya dalam Word
atau Excell. Software Viewer memang dibuat khusus agar tidak support
terhadap macro, untuk mencegah melakukan kesalahan secara tidak sengaja.
Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Malware tidak hanya datang melalui macro dokumen, seringkali ia datang mengandalkan security bug
dalam aplikasi populer, termasuk Office, browser, Flash dan banyak
lagi. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka
yang bisa diekploitasi oleh penjahat dunia maya.
Update
antivirus secara online dan terjadwal, pastikan Anda mendapatkan update
terakhir dari produsen antivirus untuk menangani malware yang beredar.
Untuk
perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem
management dan update terpusat untuk mempermudah management dan
penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan
Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam dan Antivirus untuk mail client.
Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus
atau spam langsung difilter sebelum sampai di user (user hanya terima
clean email). Saat ini di Indonesia sudah ada penyedia cloud service
untuk sistem ini sehingga tidak diperlukan perangkat tambahan.
Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP.
TINDAKAN PENANGANAN KOMPUTER YANG TIDAK DIPROTEKSI ESET:
Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan
Segera proteksi komputer/device dengan ESET agar aman menyeluruh
Lakukan In Depth Scan pada komputer tersebut
Enjoy safer technology!
selengkapnya
bacapikirshare.org