Jakarta - Beberapa waktu lalu, dunia bawah tanah Indonesia mengenal Cryptolocker sebagai malware yang menyandera data komputer korbannya dan meminta uang tebusan dalam bentuk bitcoin. Dan kini sejarah berulang dengan munculnya CTB Locker yang menyebar mimpi buruk yang sama.
CTB Locker dalam tiga hari terakhir sangat marak menyebar di Indonesia dan memakan korban ribuan komputer yang datanya terenkripsi.
Jika Anda bertanya-tanya mengapa malware ini dinamakan CTB adalah karena ciri khasnya. CTB adalah singkatan dari Curve, Tor, Bitcoin. Curve karena metode enkripsi yang digunakan adalah teknik kriptografi kurva elips yang secara teknis lebih efisien dari kriptografi konvensional.
Tor adalah metode komunikasi yang digunakan memanfaatkan TOR The Onion Router dan Bitcoin karena metode pembayaran ransom yang menggunakan mata uang Bitcoin.
Gambar 1: CTB Locker menyandera data komputer yang diinfeksinya.
Menurut beberapa kasus yang ditemukan oleh Vaksincom di Indonesia, malware ini pada awalnya datang dalam bentuk email yang mengandung lampiran dan ekstensi yang akan aktif menjalankan aksi adalah .scr yang jika dijalankan akan membuka file wordpad guna mengelabui korbannya
Padahal
di latar belakang CTB sedang menjalankan aksinya melakukan enkripsi data pada
seluruh drive yang ditemukan. Drive yang dienkripsi dalam hal ini adalah semua
drive lokal, drive partisi dan drive mapping.
Bagi Anda yang melakukan file sharing di kantor, khususnya yang memberikan hak full akses (read and write) harap ekstra hati-hati karena folder/file yang Anda share full tersebut akan ikut menjadi korban enkripsi CTB meskipun komputer anda tidak terinfeksi oleh malware ini.
CTB yang beredar di Indonesia pada beberapa hari terakhir ini adalah CTB versi baru karena ekstensi acak yang disebabkannya. (lihat gambar 2)
Bagi Anda yang melakukan file sharing di kantor, khususnya yang memberikan hak full akses (read and write) harap ekstra hati-hati karena folder/file yang Anda share full tersebut akan ikut menjadi korban enkripsi CTB meskipun komputer anda tidak terinfeksi oleh malware ini.
CTB yang beredar di Indonesia pada beberapa hari terakhir ini adalah CTB versi baru karena ekstensi acak yang disebabkannya. (lihat gambar 2)
Gambar 2: Aksi CTB melakukan enkripsi data korbannya dan mengubah ekstensi
dengan nama acak.
CTB versi awal akan mengubah ekstensi data yang dienkripsinya menjadi CTB atau CTB2 setelah menjalankan aksinya. Sebelum CTB yang ditemukan Vaksincom, bahkan ada CTB yang memiliki payload ibarat salesman yang berusaha meyakinkan korbannya kalau memang ia mampu melakukan dekripsi data yang terenkripsi dimana ia akan melakukan dekripsi gratis atas 5 file yang telah dienkripsinya supaya korban percaya dan melakukan pembayaran tebusan.
CTB yang ditemui lab Vaksincom dan beredar di Indonesia memiliki aksi yang tidak biasa dimana file yang diincar hanya file MS Office 2003 dan tidak mengincar file MS Office versi lain.
Namun tidak tertutup kemungkinan varian CTB yang lain akan melakukan aksi yang berbeda dan pada prinsipnya semua file yang menjadi korban CTB rentan dienkripsi
CTB versi awal akan mengubah ekstensi data yang dienkripsinya menjadi CTB atau CTB2 setelah menjalankan aksinya. Sebelum CTB yang ditemukan Vaksincom, bahkan ada CTB yang memiliki payload ibarat salesman yang berusaha meyakinkan korbannya kalau memang ia mampu melakukan dekripsi data yang terenkripsi dimana ia akan melakukan dekripsi gratis atas 5 file yang telah dienkripsinya supaya korban percaya dan melakukan pembayaran tebusan.
CTB yang ditemui lab Vaksincom dan beredar di Indonesia memiliki aksi yang tidak biasa dimana file yang diincar hanya file MS Office 2003 dan tidak mengincar file MS Office versi lain.
Namun tidak tertutup kemungkinan varian CTB yang lain akan melakukan aksi yang berbeda dan pada prinsipnya semua file yang menjadi korban CTB rentan dienkripsi
Karena itu backup atas data penting anda adalah hal mutlak
yang harus anda lakukan dari sekarang guna mencegah data Anda menjadi sandera
malware kriptografi pasca Cryptolocker yang jumlahnya mencapai belasan sampai
hari ini.
Jika Anda menjadi korban dari CTB dan file Anda terenkripsi, pada prinsipnya melakukan dekripsi file tanpa kunci dekripsi dapat dikatakan sangat sulit (untuk tidak mengatakan mustahil). Satu-satunya hal yang bisa menyelamatkan data anda adalah jika Anda sudah melakukan backup atas data penting anda.
Dalam beberapa kasus, Anda bisa melakukan penyelamatan data dengan melakukan data recovery karena proses CTB dalam melakukan enkripsi adalah mendhapus data dan jika cukup beruntung (ruang sisa dalam hardisk cukup besar dan komputer tidak sering Anda akses setelah dekripsi) maka probabilitas mendapatkan file cukup besar.
Selain itu juga bisa melakukan recovery dari Shadow Volume, namun dalam varian terakhir CTB juga melakukan penghapusan atas Shadow Volume Windows.
Jika Anda pengguna Dropbox atau cloud file storage dan melakukan penyimpanan data di cloud, kabar baik bagi Anda karena Dropbox dan layanan sejenis melakukan backup secara otomatis atas semua data sehingga Anda bisa mengembalikan data Anda sekalipun telah dienkripsi oleh CTB.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
Jika Anda menjadi korban dari CTB dan file Anda terenkripsi, pada prinsipnya melakukan dekripsi file tanpa kunci dekripsi dapat dikatakan sangat sulit (untuk tidak mengatakan mustahil). Satu-satunya hal yang bisa menyelamatkan data anda adalah jika Anda sudah melakukan backup atas data penting anda.
Dalam beberapa kasus, Anda bisa melakukan penyelamatan data dengan melakukan data recovery karena proses CTB dalam melakukan enkripsi adalah mendhapus data dan jika cukup beruntung (ruang sisa dalam hardisk cukup besar dan komputer tidak sering Anda akses setelah dekripsi) maka probabilitas mendapatkan file cukup besar.
Selain itu juga bisa melakukan recovery dari Shadow Volume, namun dalam varian terakhir CTB juga melakukan penghapusan atas Shadow Volume Windows.
Jika Anda pengguna Dropbox atau cloud file storage dan melakukan penyimpanan data di cloud, kabar baik bagi Anda karena Dropbox dan layanan sejenis melakukan backup secara otomatis atas semua data sehingga Anda bisa mengembalikan data Anda sekalipun telah dienkripsi oleh CTB.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
Penulis:
Alfons Tanujaya
- detikinet
Kamis,
22/01/2015 13:57 WIB