Tips dan Trik CryptoLocker (Trojan.GenericKD.1492946)

12 Februari 2014
Tips dan Trik CryptoLocker (Trojan.GenericKD.1492946)
Living as a Cryptonoid
Tips dan Trik
Berikutkami sertakan tips dan trik agar komputer anda tidak terinfeksi virus CryptoLocker kembali. Metode ini dibuat berdasakran analisa terhadap CryptoLocker yang banyak beredar ditemukan di Indonesia dan terdeteksi oleh G Data Antivirus sebagai Trojan GenericKD.1492946. Anda dapat menggunakan fitur Software Restriction Policy yang sudah tertanam pada Windows XP professional, Windows Vista/7/8, Windows Server 2013 / 2018.

Seperti yang sudah dijelaskan sebelumnya, CryptoLocker akan membuat file induk di direktori :

Windows Xp
[C:\Document and Settings\%Users%\Local Settings\Application Data]

Win Vista/7/8
[C:\Users\%Users%\AppData\Local\]
C:\Users\%Users%\AppData\Roaming\]

Catatan: (%Users% ini adalah user yang di gunakan untuk login Windows]

Dan menyebarkan dirinya melalui email dengan melampirkan file yang terkompresi yang di dalamnya terdapat file dengan nama %file acak%.pdf.exe (mempunyai dua ekstensi file).

Catatan: %file acak%, menunjukan nama file yang berbeda-beda.

Software Restriction Policy akan melakukan blok terhadap file yang mempunyai ekstensi EXE yang berada di direktori yang sudah di sebutkan di atas (tetapi tidak akan blok file EXE yang berada di sub folder dari folder utamanya), serta akan blok file yang mempunyai ekstensi ganda (pdf.exe).

Berikut langkah-langkah untuk konfigurasi Software Restriction Policy
  • Klik menu [Start]
  • Klik RUN (lihat gambar 1)
20140212I_tipstrikcryptolocker01
Gambar 1, Menu [start] Windows
  • Pada dialog box RUN ketik SECPOL.MSC kemudian klik tombol [OK] (lihat gambar 2)
20140212I_tipstrikcryptolocker02
Gambar 2, Memanggil aplikasi Security Policy Windows
  • Kemudian akan muncul layar Local Security Settings
  • Pada kolom kiri, klik Kanan pada folder Software Restiction Policies Kemudian klik [Create New Policies]. (lihat gambar 3) akan memunculkan sub menu [Additional Rules] di bawah ”Software Restriction Policy”
20140212I_tipstrikcryptolocker03
Gambar 3, Create New Policies
  • Kemudian klik kanan pada folder Additional Rules, lalu klik [New Path Rule...] (lihat gambar 4)
20140212I_tipstrikcryptolocker04
Gambar 4, New Path Rule...
  • Kemudian akan muncul layar kotak dialog ”New Path Rule” (lihat gambar 5)
20140212I_tipstrikcryptolocker05
Gambar 5, Menu utama New Path Rule
Kemudian pada kolom Path isi dengan direktori berikut:

  • Untuk Windows XP    
  • %UserProfile%\Local Settings\Application Data\*.exe
  • *.pdf.exe
  • %UserProfile%\Local Settings\Application Data\Microsoft\*.exe
  • %UserProfile%\Local Settings\*.exe
  • Untuk Windows Vista / 7 / 8
  • %AppData%\*.exe
  • %UserProfile%\AppData\Roaming\*.exe
  • *.pdf.exe
  • %AppData%\Microsoft\*.exe
  • %userprofile%\AppData\Local\*.exe
  • %LocalAppData%\*.exe
  • Pada kolom Security level, pilih [Disallowed]
  • Pada kolom Description, isi deskripsi untuk rule yang anda buat (contohnya: Vaksin Cryptolocker Prevent)
  • Kemudian klik [Apply]
  • Klik [OK] (lihat gambar 6)
20140212I_tipstrikcryptolocker06
Gambar 6, Contoh rule Software Restriction Policy yang sudah dibuat
Dengan langkah antisipasi ini maka Cryptolocker tidak akan bisa menginstalkan dirinya pada komputer sehingga rutin berikutnya mengenkripsi data komputer korbannya tidak dijalankan.

Sebagai langkah antisipasi, sangat di sarankan untuk melakukan hal berikut:
  1. BACKUP DATA penting Anda pada media yang terpisah (contoh: Burn ke dalam sebuah CD/DVD atau Backup ke dalam HDD External, sebaiknya kompres (ZIP/RAR) file penting tersebut sebelum di BACKUP).
  2. Install antivirus yang up-to-date di semua PC dan pastikan antivirus berfungsi dengan baik.
  3. Tidak sembarangan membuka file lampiran dari email yang anda terima walaupun dari orang yang anda kenal, terutama jika lampiran tersebut mempunyai ekstensi ganda (contoh nya; STATEMNT- E_FF503945730457.pdf.exe) dengan menggunakan icon PDF. Biasanya lampiran yang di sertakan akan di kompres (ZIP/RAR).
  4. Batasi hak akses terhadap file/folder yang di share/mapping dalam jaringan (LAN). Hindari semaksimal mungkin memberikan hak “Full Access” guna menghindari modifikasi dokumen milik anda tanpa seizin anda.
  5. Install tools Anti CryptoLocker di setiap PC. Silahkan download tools tersebut di alamat Url: http://virusicu.com/2014/cryptoprevent/VaksinCryptoPrevent.exe
Salam,


A. J. Tau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: