Tips dan Cara Melindungi file dari Serangan Ransomware



1.    Apa itu Ransomware itu?
Ransomware adalah nama atau istilah umum untuk semua malware yang - sesuai dengan namanya - meminta wang tebusan kepada user yang komputernya terinfeksi Ransomware.

2.Apa saja jenis-jenis ransomware?
Secara garis besar ada dua tipe ransomware yaitu sebagai berikut:
  • Locker Ransomware (Non Enkripsi)
    Locker ransomware dirancang untuk menolak akses ke sumber daya komputasi, biasanya dengan mengunci layar komputer dan kemudian meminta pengguna untuk membayar biaya untuk mengembalikan akses. 
  • Crypto Ransomware (Enkripsi)
    Jenis ransomware ini dirancang untuk mencari dan mengenkripsi data-data penting yang tersimpan di komputer, membuat data tidak dapat dibuka atau digunakan kecuali pengguna memperoleh kunci dekripsi. Ransomware jenis ini paling sering digunakan oleh penjahat siber.
2.    Kenapa orang bersedia membayar tebusan?
Karena ransomware telah menyusup dan melakukan aksi yang sangat mengganggu di komputer, dan mengancam keamanan data di komputer Anda.
Misalnya, mengenkripsi file-file dokumen dan meminta Anda membayar wang tebusan untuk membuka – dekripsi kembali akses ke user. Jenis ransomware tersebut dikenal sebagai filecoder.a.

Sementara itu Ransomware yang paling terkenal adalah Filecoder Cryptolocker. (Produk Antivirus ESET berhasil mendeteksi ada banyak versi Filecoder dan mengidentifikasinya sebagai Win32/Filecoder).

3. Bagaimanakah ransomware jika dilihat dari metode serangannya?
  • Single Platform
    Ransomware yang dibuat untuk menyerang satu jenis platform, seperti Windows misalnya.
  • Cross Platform
    Yaitu ransomware yang memiliki kemampuan menyerang berbagai macam platform seperti Ransom32, Shark dan Zimbra yang mampu menginfeksi Windows, Mac OS dan Linux sekaligus. 
  • Sistem Server
    Pengembang malware menciptakan ransomware yang hanya menyerang sistem server, tujuan tentu saja menguasai jaringan komputer, sehingga sasaran yang didapat bisa dalam jumlah besar.
  • Situs E-Commerce
    Beberapa waktu lalu sempat muncul ransomware yang mengincar Situs-situs E-Commerce, maraknya situs-situs belanja online di dunia menjadi alasan di balik hadirnya ransomware ini.
  • RaaS
    Raas atau Ransomware as a Service, adalah metode penyerangan ransomware paling berbahaya diantara yang lainnya. Pengembang malware menjadikan ransomware sebagai franchise yang bisa digunakan oleh siapa saja, dirancang untuk mudah digunakan bahkan oleh newbie sekalipun, dengan sistem bagi hasil sangat menguntungkan bagi mereka yang mau mengoperasikan.z
  • Android
    Dengan semakin meningkatnya pengguna smartphone di seluruh dunia, tren penyimpanan data pun mengalami pergeseran, mereka yang biasa menyimpan data di dalam komputer ataupun removable media, sekarang beralih menyimpan data-data penting mereka ke dalam ponsel. Pergeseran tren ini menjadi penyebab munculnya ransomware android.

4.    Bagaimana sebuah komputer bisa terinfeksi Ransomware seperti Cryptolocker?
Ransomware menyebar dengan metode pancingan melalui email yang membawa weblink pada attachment, isi email dibuat seakan-akan dikirim dari sebuah bank dimana user memiliki rekening atau perusahaan jasa pengiriman.

Ada juga versi Cryptolocker yang didistribusikan melalui jaringan peer-to-peer file-sharing, menyamar sebagai activation keys untuk perangkat lunak populer seperti Adobe Photoshop dan Microsoft Office.

Ketika komputer Anda positif terinfeksi, Cryptolocker selanjutnya akan mencari berbagai jenis file di komputer untuk dienkripsi - setelah enkripsi selesai, Cryptolocker akan menampilkan pesan yang isinya meminta Anda mentransfer sejumlah wang elektronik jika Anda ingin mendapatkan key untuk mendekripsi semua file tadi.



Dalam beberapa kasus, juga terjadi lockscreen bahkan menampilkan live feed dari webcam komputer Anda saat itu.
Tentu saja ini sangat merugikan ketika tiba-tiba Anda melihat diri Anda di layar monitor duduk terpaku di depan komputer, dan bisa dimanfaatkan untuk mengelabui user yang pemahaman teknisnya kurang sehingga user percaya bahwa mereka benar-benar sedang diamati oleh pihak berwajib.



4.    Scareware. Apa itu?
Scareware adalah software yang beraksi untuk menakut-nakuti Anda dalam mengambil tindakan tertentu.
Biasanya Scareware muncul dengan berpura-pura menjadi produk anti-virus yang menampilkan peringatan adanya masalah keamanan pada komputer atau smartphone Itu dilakukan untuk menipu Anda agar bersedia membayar sejumlah wang kepada para scammers atau men-download software keamanan yang justeru sebenarnya adalah kode berbahaya.

Dalam beberapa kasus anti-virus palsu, juga bisa terjadi sebaliknya, yaitu muncul dengan menggunakan nama perusahaan keamanan asli, juga dalam upaya menipu pengguna untuk membelokkan keputusan atau tindakan dari user.



Seperti Ransomware, Scareware juga dikembangkan dan dirancang untuk semua sistem operasi. Pada beberapa kasus, Scareware anti-virus palsu memiliki laman user interface tiruan yang sangat mirip, bahkan lebih meyakinkan daripada produk keamanan yang aslinya! inilah yang membuat user seringkali tertipu

Beberapa Scareware – jika sudah gagal menakuti Anda untuk membeli atau mensubscribe “produknya” - akan mengganti strategi dengan taktik Ransomware targetnya sama, yaitu menuntut sejumlah wang dengan ancaman keras.

5.    Apa yang terjadi jika komputer terserang Ransomware, tapi tidak mau bayar tebusan?
Dalam kasus serangan Ransomware yang lebih massif, waktu untuk pembayaran tebusan akan dibatasi - jika tidak membayar dalam waktu yang sudah ditentukan maka ancamannya adalah akses ke file dan dokumen akan hilang secara permanen.

6.    Apakah Ransomware yang mengenkripsi file adalah satu-satunya Ransomware?
Tidak, masih ada lagi yang namanya Lockscreen Ransomware. Yaitu jenis Ransomware yang mengunci komputer Anda, mencegah Anda melakukan apapun di komputer sampai wang tebusan dibayar.

Malware lockscreen kemungkinan juga akan mempermainkan sisi psikologis user agar Anda segera membayar tebusan.
Misalnya, bisa terjadi sebuah notifikasi Lockscreen muncul seakan dikirim dari kepolisian negara Anda, dan menyatakan bahwa pihak berwenang menuntut Anda membayar denda karena menyimpan gambar terlarang atau pornografi, zoophilia, data historis kuncungan ke website ilegal atau ditemukan ada perangkat lunak bajakan di komputer Anda.



Salah satu keluarga Ransomware yang mengunci komputer pengguna saat berpose di webcam dan paling sering ditemui adalah Reveton.

7.    Apakah korban akhirnya membayar tebusan?
Ya, dibanyak kasus korban infeksi Ransomware membayar tebusan.
Sekarang bayangkan jika Anda tidak punya backup data, bagaimana Anda dapat mengembalikan file-file perusahaan atau file-file penting lainnya. Jadi bisa saja seseorang kemudian menganggap membayar tebusan adalah solusi terbaik untuk mendapatkan akses ke data Anda.

Corporate user kemungkinan tidak terlalu peduli tentang Malware Lockscreen (karena kalangan pengguna di perusahaan punya backup dan akses ke perangkat keras lain), tapi pengguna Home User pasti ketakutan saat menemukan ada ancaman dari aparat keamanan karena tuduhan menyimpan material pornografi - misalnya - sehingga pengguna home user cenderung mudah terjebak dan memilih bayar tebusan daripada membiarkannya terkunci lalu memperbaikinya di bengkel komputer.

8.    Jadi apakah membayar tebusan akan membebaskan file-file yang terkunci?
Ya, umumnya membayar akan memulihkan akses data Anda, tetapi Jika itu cara berpikir Anda, dan pikiran seperti juga yang mendasari pelaku dalam melakukan aksinya. Sedangkan jika pelaku tidak memberi indikasi akan mengembalikan akses ke data, maka tak seorang pun akan mau membayar wang tebusan.

Namun, membayar tebusan tidak berarti Anda aman dan bebas dari jeratan enkripsi file. Para penjahat malah mungkin akan meninggalkan malware pada komputer Anda, dan pelaku jadi tahu bahwa Anda adalah tipe orang yang bersedia membayar wang tebusan untuk mendapatkan akses ke komputer atau data. Singkatnya, Anda bisa menjadi target lagi diserangan berikutnya.

9.    Jika saya adalah korban Ransomware, Apakah saya harus bayar tebusan juga?
ESET tidak merekomendasikan langkah membayar. Satu hal yang perlu diingat adalah tidak ada satupun yang bisa menghentikan aksi kejahatan pemerasan dibalik sebuah serangan. Jadi jika seseorang menyerah dan membayar tebusan, secara tidak langsung orang tersebut sudah membantu terciptanya lahan baru bagi kejahatan online, yang potensial berdampak pada serangan Ransomware dan kejahatan internet lainnya di masa yang akan datang.

Sebaliknya, belajar dari pengalaman, dengan mengadopsi sistem perlindungan yang lebih baik, ditambah dengan backup regular akan dapat memulihkan keadaan kemudian menyelamatkan file penting, dan Anda harus menjaga jangan sampai terkena lagi.

10.   Apakah infeksi Ransomware bisa dihapus dengan antivirus saya?
Yes, dalam banyak kasus, software keamanan yang bagus harus mampu menghapus Ransomware dari komputer Anda. Tapi masalah Anda belum selesai sampai distu.

Sebab, jika ransomware yang menginfeksi komputer Anda adalah filecoder dan file Anda masih dienkripsi, software keamanan mungkin masih bisa mendekripsi informasi penting jika serangan tersebut masih menggunakan filecoder yang sederhana. Tetapi jika file dienkripsi oleh Ransomware yang lebih canggih seperti Cryptolocker maka tidak mungkin mendekripsi file tanpa kunci yang tepat.

11.   Jadi, apakah Filecoder yang meng-enkripsi file-file penting itu lebih berbahaya dari Malware Lockscreen?
Iya, di sebagian besar kasus serangan Ransomware yang mengenkripsi file, user akan sangat kesulitan untuk pulih disbanding serangan Ransomware lainnya. Namun, jika ada backup data yang selamat dari serangan Ransomware, maka tidak akan terlalu sulit untuk memulihkan kondisi dan back to normal dengan cepat.
Jadi sebenarnya, malware terjahat adalah malware yang menginfeksi komputer kita!

12.   Apakah Ransomware Filecoder kini sedang merebak?
Yes, bahkan sekarang para peneliti di ESET Malware Lab menemukan semakin banyak malware yang meng-enkripsi file– dan terus menerus mengalami peningkatan yang selama setahun terakhir.



13.   Sistem operasi apa saja yang sudah terkena serangan Ransomware?
Secara teori, tidak ada yang bisa menghentikan pengembangan Ransomware yang dilakukan oleh pelaku kejahatan online – tetapi sebagian besar serangan itu mengarah ke sistem operasi Windows. Contohnya pada Cryptolocker, hanya ditemukan di sistem operasi Windows.

Namun, peneliti malware di ESET baru-baru ini juga mendeteksi Android/Simplocker, yaitu Trojan pertama yang beraksi meng-enkripsi file dan meminta tebusan dari pengguna Android via pusat kontrol tersembunyi di Jaringan Tor anonim.
Jadi jelas ada hal-hal yang berkembang semakin canggih dalam dunia Ransomware, bahkan di smartphone.

14.   Jadi smartphone juga beresiko?
Yak, benar sekali. Dan tentu saja, ancaman malware tersebut masih jauh lebih kecil di perangkat iOS bahkan daripada di Android.
Jadi jika kita bertolak dari kejadian yang mucul, resiko yang berkembang, maka Tindakan pencegahan tetaplah langkah yang terbaik.

15. Lantas, langkah apa yang harus dilakukan untuk terhindar dari serangan ransomware?
Untuk terhindar dari serangan ransomware dan segala tipu daya yang digunakan oleh pengembang malware untuk menginfiltrasi sistem perangkat yang kita miliki ada beberapa langkah mitigasi yang bisa dilakukan, sebagai berikut:

Untuk pengguna personal/home edition:
  1.  Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  2. Gunakan produk ESET Smart Security Premium, ESET Internet Security, ESET Smart Security, ESET NOD32 Antivirus versi 10 yang sudah memiliki fitur ANTIRANSOMWARE.
  3.  Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
  4.  Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
  5.  Jangan langsung aktifkan macro dalam dokumen attachment yang diterima melalui email. Microsoft sudah mematikan auto-execution macro secara default sejak bertahun-tahun yang lalu sebagai langkah keamanan. Karena selama ini banyak infeksi malware mengandalkan cara dengan menyakinkan Anda untuk mengaktifkan macro, jadi jangan lakukan itu!
  6.  Berhati-hati terhadap unsolicited attachment. Pelaku kejahatan selalu menggunakan dilema sebagai senjata untuk mempengaruhi Anda secara psikologis, apakah harus membuka dokumen atau tidak, sementara Anda tidak tahu dokumen itu benar atau tidak. Saat ragu jangan lakukan atau konsultasi dengan tim IT Anda.
  7.  Pertimbangkan untuk menginstal Microsoft Office Viewers. Aplikasi Viewer memberikan kemudahan untuk melihat sebuah dokumen tanpa harus membukanya dalam Word atau Excell. Software Viewer memang dibuat khusus agar tidak support terhadap macro, untuk mencegah melakukan kesalahan secara tidak sengaja.
  8. Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Malware tidak hanya datang melalui macro dokumen, seringkali ia datang mengandalkan security bug dalam aplikasi populer, termasuk Office, browser, Flash dan banyak lagi. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  9. Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  10. Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  11. Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  12. Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  13. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan.
  14. Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam dan Antivirus untuk mail client.
  15. Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email). Saat ini di Indonesia sudah ada penyedia cloud service untuk sistem ini sehingga tidak diperlukan perangkat tambahan.
  16. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP.
  17. Pastikan Software ESET di komputer Anda selalu dan sudah terupdate.

Untuk admin IT:
Apabila seluruh jaringan komputer sudah terinstall ESET Business Edition:
  1.  Pastikan Software ESET sudah terupdate di seluruh komputer/device.
  2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari Windows.
  3. Backup secara berkala seluruh folder berisi file data penting.
  4.  Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal.
  5.  Lakukan scan secara berkala melalui In Depth Scan (push scan melalui ESET Remote Administrator-ERA).
  6. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ESET berada di dalam jaringan.
  7.  Gunakan ESET Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email).
  8. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RD.
TINDAKAN PENANGANAN KOMPUTER YANG TIDAK DIPROTEKSI ESET:
  1. Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan.
  2. Segera proteksi komputer/device dengan ESET agar aman menyeluruh.
  3. Lakukan In Depth Scan pada komputer tersebut.
ESET jauh-jauh hari sudah memprediksi mengenai trend serangan yang mungkin terjadi pada tahun 2016, bagaimana ransomware adalah salah satu ancaman yang menjadi fokus perhatian, karena perkembangannya yang sangat cepat dan bervariasi. Oleh karena itu untuk menanggulangi krisis yang akan terjadi kami semenjak dini sudah menyiapkan langkah-langkah preventif berdasarkan prioritas seperti yang kami tuangkan dalam tindakan pencegahan diatas, kami juga menyakini bahwa melalui langkah yang sistematis maka setiap serangan ransomware yang datang akan dapat diatasi dengan baik.

Adakah langkah pengamanan yang lain?
PANDUAN UNTUK PENGGUNA ESET BUSINESS EDITION
 Dengan memblokir metode infeksi ransomware (dengan JavaScript dropper), Maka pengaturan tambahan ini mampu mencegah malware berbahaya untuk memulai pengunduhan. Pendekatan ini terbukti sangat efisien. Anda dapat mengunduh dan menerapkannya menggunakan ESET Remote Administration.
 Pengaturan pada ESET Mail Security untuk Ms Exchange Server
  • Dengan pengaturan antispam yang tepat, email masuk akan disaring terlebih dahulu pada mail server. Ini untuk memastikan bahwa attachment berisi dropper berbahaya tidak akan dikirim kedalam mailbox end user dan ransomware tidak akan memiliki kesempatan untuk melakukan eksekusi.
  • Untuk pencegahan ransomware/filecoder menggunakan firewall ESET, silakan ikuti panduan pada link ini http://kb.eset.co.id/index.php?solution_id=1249 
Pengaturan pada Endpoint Security
  •  ESET Endpoint Security mampu mencegah pengunduhan malware karena adanya integrasi dengan Firewall sehingga dropper dengan maliciouss code tidak akan bisa dieksekusi.
  •  Dengan menerapkan pengaturan Firewall yang benar, ESET Endpoint Security akan memblokir pengunduhan payload berbahaya dan menolak akses scripting lainnya ke internet 
  • Untuk menghentikan Ransomware/filecoder menggunakan Firewall ESET, silahkan ikuti panduan pada link berikut http://kb.eset.co.id/index.php?solution_id=1246
Pengaturan HIPS untuk Endpoint Security & Endpoint Antivirus
  •  Host-based Intrusion Prevention System (HIPS) dapat dimanfaatkan untuk melindungi sistem dari dalam dan mampu memutus tindakan yang tidak sah dari proses sebelumnya yang dieksekusi dengan melarang pelaksanaan standar JavaScript dan script lainnya, Ransomware tidak diberi kesempatan untuk menjalankan malware apalagi mengunduhnya.
  • HIPS adalah bagian integral dari ESET File Security for Windows Server, ESET Endpoint Antivirus dan ESET Endpoint Security, sehingga menjadi solusi tak terbantahkan untuk setiap server dan workstation, dan tidak akan ada mengistimewakan script legitimate di area produksi.
  • Untuk mencegah dan menghentikan Ransomware/filecoder menggunakan HIPS ESET, silakan ikuti panduan pada link ini http://kb.eset.co.id/index.php?solution_id=1247

PANDUAN UNTUK PENGGUNA ESET HOME EDITION
  • ESET Antiransomware sudah diimplementasikan mulai versi 10. Semua produk ESET Smart Security Premium, ESET Internet Security, ESET Smart Security, ESET NOD32 Antivirus dengan mudah mengatifkan fitur ini.
  • ESET Anti Ransomware Setup juga dapat diimplementasikan oleh pengguna ESET Home Edition dengan memanfaatkan HIPS yang ada pada ESET NOD32 Antivirus dan ESET Smart Security. Konfigurasi pengaturan anti ransomware setup yang diunduh akan mampu membendung setiap upaya infiltrasi malware yang mencoba mengakuisisi sistem, menghentikan serangan jauh sebelum masuk ke sistem sehingga terhindar dari dampak mematikan.
  • Dirancang dengan tampilan sederhana dan mudah diterapkan, konfigurasi pengaturan dapat dioperasikan oleh siapapun termasuk mereka yang awam. Untuk mendapatkan penjelasan lebih detil dan mengunduh konfigurasi pencegahan ransomware. Anda bisa mendapatkannya di link berikut http://kb.eset.co.id/index.php?solution_id=1250

No comments :

Post a Comment

 

Copyright 2015 © Macam Macam Cite. Design by Ayu Barbydol