Locky ransomware

25 Februari 2016
Locky, preman digital bahagia di atas penderitaan korbannya (artikel 2/2)
Menginfeksi 100.000 komputer tiap hari
Jika data anda berhasil dienkrip oleh Locky, maka ia akan meninggalkan file dengan nama _Locky_recover_instructions dan semua file akan dirubah dengan nama yang telah ditentukan formatnya dengan ekstensi .locky. (lihat gambar 5)
Gambar 5, File yang dienkrip oleh locky berganti ekstensi menjadi .locky

Jika anda membuka tautan TOR (The Onion Router) yang telah dipersiapkan, anda akan menemui pesan permintaan tebusan. Namun hal ini diperhalus seakan-akan pembuat Locky ini menjual software dekripsi data kepada anda. Dengan tidak tahu malunya ia akan menampilkan informasi penjualan software spesial dengan nama Locky Decryptor (TM) yang dikatakan bisa mendekrip dan mengembalikan semua file yang dienkrip. Namun tidak seperti penjual software lain yang melakukan usahanya secara baik-baik dan bisa diketahui alamatnya, pembuat Locky ini hanya menerima pembayaran melalui bitcoin. Tentunya pembayaran menggunakan bitcoin digunakan supaya tidak mudah dilacak oleh pihak yang berwenang. Pembuat malware ini juga “berbaik hati” mengajarkan cara untuk membeli bitcoin jika korbannya berminat untuk mendapatkan kembali datanya yang dienkripsi. (lihat gambar 6)
Gambar 6, Aksi tidak tahu malu pembuat Locky menjual software dekripsi untuk membuka file yang dienkripnya

Menginfeksi 400.000 korban dalam 4 hari
Menurut klaim Locky, ia menggunakan enkripsi RSA 2048 dan AES 128 yang dikenal sangat kuat untuk melakukan enkripsi dan secara teknis hampir tidak mungkin dipecahkan secara konvensional dengan kekuatan komputasi hari ini. Hal menarik lain dilakukan oleh Locky adalah ia membutuhkan komunikasi dengan C2 (Command and Control) servernya untuk mendapatkan kunci enkripsi sebelum melakukan enkripsi file. Hal ini berbeda dengan ransomware lain yang melakukan pembuatan kunci enkripsi secara lokal di komputer korbannya dan mengirimkan kunci enkripsi tersebut kemudian ke C2 servernya. Hal ini menunjukkan perubahan strategi ransomware dimana pembuatnya ingin mengantisipasi teknik vendor sekuriti yang mampu mendapatkan kunci dekripsi jika kunci tersebut dibuat secara lokal di komputer korban oleh ransomware.
Korban Locky dalam 4 hari beraksi diperkirakan mencapai lebih dari 400.000 sistem komputer dan aktivitas Locky bisa diidentifikasi dari aktivitas Word Macro Downloader yang dikenal dengan nama Bartallex macro downloader. Jadi tugas lampiran email word macro hanyalah untuk mengunduh malware Locky yang telah dipersiapkan sebelumnya dan menjalankannya. Kaitan Locky dengan malware Dridex sangat kuat dan diperkirakan pembuat Dridex atau sebagian besar sourcecode Dridex digunakan dalam malware Locky.

Ransomware selalu satu langkah di depan antivirus
Posisi hari ini, mayoritas vendor sekuriti sudah mendeteksi Locky, namun hal tersebut sama sekali tidak memberikan gambaran perlindungan yang sebenarnya terhadap korban ransomware di masa depan karena pembuat malware / ransomware dengan mudah dapat membuat varian ransomware baru yang tidak terdeteksi oleh antivirus dan kembali menjalankan aksinya. (lihat gambar 7)
Gambar 7, Dropper locky sudah terdeteksi oleh vendor antivirus namun hal ini tidak menjamin perlindungan dari varian Locky lainnya

Dalam banyak kasus aksi penyebaran dan infeksi ransomware di masa depan akan menggunakan rekayasa sosial dan eksploitasi celah keamanan seperti yang dilakukan oleh Locky. Karena itu, secara realistis sebenarnya agak sulit untuk mencegah aksi ransomware di masa depan karenya kenyataannya pembuat ransomware sangat piawai membuat varian-varian baru yang tidak terdeteksi antivirus dan memanfaatkan celah waktu sempit untuk beraksi sampai ia di deteksi oleh antivirus, persis seperti internet banking trojan. Sebagai informasi trojan banking Dridex ditengarai menginspirasi atau malah digunakan oleh pembuat Locky untuk mengembangkan ransomware ini.
Karena itu, hal utama yang harus anda lakukan  adalah melakukan backup data penting anda dengan baik, salah satunya adalah backup data penting otomatis ke cloud dengan G Data Backup & Restore. Sesal dahulu pendapatan, sesal kemudian tidak berguna.
Jika anda administrator jaringan dan tertarik untuk memberikan perlindungan tambahan, ada beberapa tips tambahan yang bisa anda gunakan setelah melakukan backup dengan baik dan benar seperti melindungi Shadow Copy, blokir akses ke TOR dan monitor aktivitas enkripsi yang mencurigakan. Untuk informasi detail bagaimana hal ini di implementasikan, silahkan hubungi vendor sekuriti anda. Namun di atas segalanya sekali lagi, backup yang baik dan benar merupakan obat dewa menghadapi ransomware.

Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: