Age of Ransomware

19 Mei 2015
 Age of Ransomware
Bagaimana cara kerja enkripsi?
Ransomware adalah salah satu jenis malware / program jahat yang ingin mendapatkan keuntungan finansial dengan menyandera data dari komputer korbannya. Adapun caranya menyandera data korbannya adalah dengan melakukan enkripsi data penting seperti MS Office, foto, database, autocad, adobe, lagu dan film. Menurut pantauan Vaksincom sampai saat ini sudah ratusan jenis (ektensi) file yang di incar oleh ransomware. Jika data anda di enkrip (acak) oleh ransomware, maka data yang anda miliki di acak sedemikian rupa dengan kumpulan karakter pengacak unik (key) menggunakan metode kriptografi dan data tersebut hanya bisa dikembalikan ke asalnya (dekripsi) dengan pasangan kunci dekripsi. Jadi data anda secara fisik tetap ada di komputer anda namun telah dirubah sedemikian rupa sehingga tidak bisa dibuka tanpa proses dekripsi.

Apa itu enkripsi, praktek simpel kriptografi

Untuk mendapatkan gambaran kerumitan enkripsi yang dilakukan, anda bisa membayangkan proses dekripsi yang dilakukan oleh pasukan sekutu pada perang dunia II seperti yang dapat anda lihat dalam film The Imitation Game. Dalam PD II, pasukan berkomunikasi melalui gelombang radio dan semua komunikasi tersebut dipancarkan ke udara dimana pasukan musuh juga bisa menerima komunikasi tersebut. Bisa dibayangkan bahayanya jika isi komunikasi tersebut berhasil diketahui lawan, hal ini bisa menentukan kemenangan dalam pertempuran karena strategi perang dan arah gerakan pasukan musuh bisa diketahui. Karena itulah pihak yang berperang mengacak informasi (enkripsi) yang dikirimkan sedemikian rupa sehingga jika berhasil di sadap sekalipun informasi tersebut tidak akan bisa berarti. Alat yang digunakan oleh Jerman dalam mengacak komunikasinya sejak PD I bernama Enigma yang ditemukan pada tahun 1920, membutuhkan waktu 12 tahun dimana pada tahun 1932, 3 ahli matematika (kriptologis) Polandia berhasil memecahkan enkripsi Enigma versi awal yang kemudian disempurnakan kembali oleh Jerman dan digunakan pada PD II.

Dibandingkan dengan teknologi enkripsi hari ini, teknologi Enigma bisa dikatakan primitif. Sebagai gambaran jika anda mengenkrip “Hello A” dan Hello B” dengan Enigma hasilnya kira-kira “Tjvvw L” dan “Tjvvw C”. Sedangkan jika anda mengenkrip dengan enkripsi hari ini (RSA) hasilnya adalah “idkrn7shd” dan “62hmcpgue” http://www.askamathematician.com/2014/12/q-how-good-is-the-enigma-code-system-compared-to-todays-publicly-available-cryptography-systems/.

Lebih parah lagi jika tingkat kerumitan enkripsi dinaikkan, enkripsi kata “hallo” di enkripsi dengan password “vaksin” dengan metode enkripsi AES 128 bit hasilnya adalah

7c36rtKL7zDiF0OGTvp+6Y0MRMAi2jJAtm74wI7VwBoBM5e+RURhNAPzb0/lOo6CHRUh5wM9cc5zzhkDgX53gtQBzhBMbiUHwpa30BzGRig=

Anda bisa mencoba hal tersebut di https://www.infoencrypt.com/

Jika anda ingin mengetahui lebih jauh, kunjungi https://www.infoencrypt.com dan masukkan hasil enkripsi ini :

28kl+3nb29CtCIoOAGZVKKHrPoMp9DTO3XzKjw/suiTSIn+VggM0tjC+HXctGS6CLDY7AWP7SwjH7CEPtrEb0Xz5HC8McDdxbpvII5Tn4mZqzI2XkYC5JAqn0HNyrkDTOWBxfJDi1e4FTOVsnskjoRwT0qeQ0eyj6/fbuB79L/o=

lalu masukkan password “vaksin” (tanpa tanda petik). Lalu klik tombol [Decrypt] (lihat gambar 1). Lihat apa isi pesan yang muncul :).
20150519I_ageofransomware
Gambar 1, Proses dekripsi dengan AES 128 bit
Apa yang dilakukan Ransomware ?

Jika anda melakukan tutorial di atas, sekarang anda bisa mengetahui bagaimana kerja ransomware. Kata “hello” adalah file anda sebelum dienkrip. Lalu ransomware akan mengenkrip data anda (kata “hello”) dengan password “vaksin” dan menghasilkan data baru (string di bawah ini):

7c36rtKL7zDiF0OGTvp+6Y0MRMAi2jJAtm74wI7VwBoBM5e+RURhNAPzb0/lOo6CHRUh5wM9cc5zzhkDgX53gtQBzhBMbiUHwpa30BzGRig=

Data yang sudah di enkrip inilah yang ditinggalkan pada komputer anda. Data ini adalah data asli milik anda namun tidak bisa anda akses sebelum di dekripsi.

Satu-satunya cara untuk mengembalikan kata “hello” ini adalah anda harus mendekrip string di atas dengan password “vaksin”. Sebagai catatan, password “vaksin” hanya contoh dan jangan dicoba untuk dekripsi file anda yang dienkripsi oleh ransomware. Dalam kasus ransomware, password / kunci dekripsi biasanya sangat rumit dan panjang dan disimpan oleh pembuat malware sambil menunggu anda membayar tebusan.

Adapun jenis data yang di incar oleh ransomware sangat banyak, dari data penting laporan keuangan, skripsi, data base perusahaan, gambar, foto, hasil desain, presentasi sampai film. Intinya pembuat ransomware ingin menyandera data berharga supaya korbannya bersedia membayar untuk mengembalikan datanya.

Pelopor ransomware yang sukses dan sangat terkenal Cryptolocker menjalankan aksinya pada September 2013 dan disebarkan memanfaatkan jaringan Zeus bot Net. Karena tingginya korbannya hal ini menarik perhatian FBI dan pada pertengahan 2014, server penampung password untuk korban-korban Cryptolocker berhasil di deteksi dan dikuasai oleh FBI. Lalu kunci dekripsi dibagikan secara gratis dan dengan bantuan Fireeye dan Fox IT bisa diakses dari www.decryptolocker.com. Jika anda menjadi korban Cryptolocker, silahkan hubungi vendor antivirus anda untuk mendapatkan bantuan dekripsi file anda. Namun jika anda terinfeksi sejak awal 2015, kemungkinan besar bukan Cryptolocker yang menginfeksi komputer anda namun ransomware lain. Menurut catatan Vaksincom, ransomware pasca Cryptolocker yang bnayak memakan korban sampai hari ini adalah CTBLocker (Curve Tor Bitcoin) locker, Cryptowall dan Teslacrypt.

Jika anda ingin mengantisipasi serangan Ransomware dan ancaman atas Internet Banking, ikuti seminar yang akan diadakan oleh Vaksincom pada tanggal 26 Mei 2015 di Jakarta Design Center dengan thema :

Age of Ransomware, Surviving Internet Banking threat & Bulletproofing your digital asset with T-FA


Untuk informasi lebih lanjut atas seminar ini dapat diakses di :
http://virusicu.com/seminar/0515/ctblocker.html
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: