CTB Locker Indonesia

22 Januari 2015
CTB Locker
Cryptolocker 2015 mengganas di Indonesia
History repeated itself, sejarah selalu berulang. Begitulah kata pepatah. Namanya sejarah, secara istilah saja sejarah merupakan sesuatu hal yang pernah terjadi dahulu dan biasanya cukup lama. Namun rupanya di zaman internet ini, terjadi percepatan siklus bisnis seperti Samsung yang rasanya baru kita dengar mengalahkan Apple dalam penjualan perangkat pintar, dalam waktu singkat sudah muncul lagi berita bahwa Samsung saat ini sudah keteteran dan muncul pemain baru yang menggerus pangsa pasarnya, Si Beras Kecil alias Xiao Mi. Di masa lalu hal ini memakan waktu bertahun-tahun seperti HP yang bercokol di peringkat pertama penjualan PC dan sulit untuk digeser oleh kompetitor lainnya. Hal ini juga terjadi pada dunia malware dimana Cryptolocker yang pembuatnya tertangkap dan sempat memakan korban ratusan ribu, dalam waktu singkat tempatnya digantikan oleh belasan malware crypto yang sebenarnya mengandalkan teknik yang tidak jauh berbeda. Salah satu malware crypto yang sedang marak melanda Indonesia dalam 3 hari terakhir di pertengahan Januari 2015 adalah CTB Locker. Sama seperti Cryptolocker,malware ini merupakan ransomware yang menyandera data komputer korbannya dan meminta uang dalam bentuk mata uang bitcoin jika korbannya ingin mendapatkan datanya kembali (lihat gambar 1)
20150122I_ctblockerindonesia03
Gambar 1, CTB Locker menyandera data komputer yang di infeksinya
Mengapa CTB ?

Jika anda bertanya-tanya mengapa malware ini dinamakan CTB adalah karena ciri khasnya. CTB adalah singkatan dari Curve, Tor, Bitcoin. Curve karena metode enkripsi yang digunakan adalah teknik kriptografi kurva elips yang secara teknis lebih efisien dari kriptografi konvensional, Tor adalah metode komunikasi yang digunakan memanfaatkan TOR The Onion Router dan Bitcoin karena metode pembayaran ransom yang menggunakan mata uang Bitcoin.

Menurut beberapa kasus yang ditemukan oleh Vaksincom di Indonesia, malware ini pada awalnya datang dalam bentuk email yang mengandung lampiran dan ekstensi yang akan aktif menjalankan aksi adalah .scr yang jika dijalankan akan membuka file wordpad guna mengelabui korbannya, padahal di latar belakang CTB sedang menjalankan aksinya melakukan enkripsi data pada seluruh drive yang ditemukan. Drive yang di enkripsi dalam hal ini adalah semua drive lokal, drive partisi dan drive mapping. Bagi anda yang melakukan file sharing di kantor, khususnya yang memberikan hak full akses (read and write) harap ekstra hati-hati karena folder / file yang anda share full tersebut akan ikut menjadi korban enkripsi CTB meskipun komputer anda tidak terinfeksi oleh malware ini.

CTB yang beredar di Indonesia pada beberapa hari terakhir ini adalah CTB versi baru karena ekstensi acak yang disebabkannya. (lihat gambar 2).
20150122I_ctblockerindonesia01
Gambar 2, Aksi CTB melakukan enkripsi data korbannya dan mengubah ekstensi dengan nama acak
CTB versi awal akan mengubah ekstensi data yang dienkripsinya menjadi CTB atau CTB2 setelah menjalankan aksinya. Sebelum CTB yang ditemukan Vaksincom, bahkan ada CTB yang memiliki payload ibarat salesman yang berusaha meyakinkan korbannya kalau memang ia mampu melakukan dekripsi data yang terenkripsi dimana ia akan melakukan dekripsi gratis atas 5 file yang telah dienkripsinya supaya korbannya percaya dan melakukan pembayaran tebusan.


CTB yang ditemui lab Vaksincom dan beredar di Indonesia memiliki aksi yang tidak biasa dimana file yang diincar hanya file MS Office 2003 dan tidak mengincar file MS Office versi lain. Namun tidak tertutup kemungkinan varian CTB yang lain akan melakukan aksi yang berbeda dan pada prinsipnya semua file yang menjadi korban CTB rentan dienkrip. Karena itu backup atas data penting anda adalah hal mutlak yang harus anda lakukan dari sekarang guna mencegah data anda menjadi sandera malware2 kriptografi pasca Cryptolocker yang jumlahnya mencapai belasan sampai hari ini.


Jika anda menjadi korban dari CTB dan file anda terenkripsi, pada prinsipnya melakukan dekripsi file tanpa kunci dekripsi dapat dikatakan sangat sulit (untuk tidak mengatakan mustahil). Satu-satunya hal yang bisa menyelamatkan data anda adalah jika anda sudah melakukan backup atas data penting anda. Dalam beberapa kasus, anda bisa melakukan penyelamatan data anda dengan melakukan data recovery karena proses CTB dalam melakukan enkripsi adalah mendhapus data anda dan jika anda cukup beruntung (ruang sisa dalam harddisk cukup besar dan komputer tidak sering anda akses setelah dekripsi) maka probabilitas mendapatkan file cukup besar. Selain itu anda juga bisa melakukan recovery dari Shadow Volume, namun dalam varian terakhir CTB juga melakukan penghapusan atas Shadow Volume Windows. Jika anda pengguna Dropbox atau cloud file storage dan melakukan penyimpanan data di cloud, kabar baik bagi anda karena Dropbox dan layanan sejenis melakukan backup secara otomatis atas semua data anda sehingga anda bisa mengembalikan data anda sekalipun telah dienkripsi oleh CTB.


Untuk menghindari menjadi korban CTB, selalu lindungi komputer anda dengan program antivirus yang handal yang mampu mendeteksi CTB dengan baik seperti G Data Antivirus. (lihat gambar 3)
20150122I_ctblockerindonesia02
Gambar 3, G Data Antivirus mendeteksi CTB Locker sebagai Trojan.CTBLocker dan Trojan.Ransom.Dalexis.B

Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800

Share by: