Ransomware: Cara Kerjanya dan Cara Menghapusnya

Ransomware adalah bentuk malware yang mengenkripsi file korban. Penyerang kemudian meminta tebusan dari korban untuk mengembalikan akses ke data setelah pembayaran.

Pengguna diperlihatkan instruksi cara membayar biaya untuk mendapatkan kunci dekripsi. Biaya dapat berkisar dari beberapa ratus dolar hingga ribuan, dibayarkan kepada penjahat cyber dalam Bitcoin.

Cara kerja ransomware

Ada sejumlah vektor yang dapat diambil ransomware untuk mengakses komputer. Salah satu sistem pengiriman yang paling umum adalah phishing lampiran spam yang datang kepada korban dalam email, menyamar sebagai file yang harus mereka percayai. Setelah diunduh dan dibuka, mereka dapat mengambil alih komputer korban, terutama jika mereka memiliki alat rekayasa sosial bawaan yang mengelabui pengguna agar mengizinkan akses administratif. Beberapa bentuk ransomware lain yang lebih agresif, seperti NotPetya, mengeksploitasi celah keamanan untuk menginfeksi komputer tanpa perlu menipu pengguna.

Ada beberapa hal yang mungkin dilakukan malware setelah diambil alih komputer korban, tetapi sejauh ini tindakan yang paling umum adalah mengenkripsi beberapa atau semua file pengguna. Jika kamu menginginkan detail teknis, Infosec Institute memiliki pandangan mendalam tentang bagaimana beberapa rasa file ransomware mengenkripsi. Tetapi hal yang paling penting untuk diketahui adalah bahwa pada akhir proses, file tidak dapat didekripsi tanpa kunci matematika yang hanya diketahui oleh penyerang. Pengguna disajikan dengan pesan yang menjelaskan bahwa file mereka sekarang tidak dapat diakses dan hanya akan didekripsi jika korban mengirimkan pembayaran Bitcoin yang tidak dapat dilacak kepada penyerang.

Dalam beberapa bentuk malware, penyerang mungkin mengklaim sebagai lembaga penegak hukum yang mematikan komputer korban karena adanya pornografi atau perangkat lunak bajakan di atasnya, dan menuntut pembayaran "denda," mungkin untuk membuat korban lebih kecil kemungkinannya untuk menjadi korban. melaporkan serangan ke pihak berwenang. Tetapi kebanyakan serangan tidak mengganggu kepura-puraan ini. Ada juga variasi, yang disebut leakware atau doxware, di mana penyerang mengancam untuk mempublikasikan data sensitif pada hard drive korban kecuali tebusan dibayar. Tetapi karena menemukan dan mengekstraksi informasi semacam itu adalah proposisi yang sangat rumit bagi penyerang, enkripsi ransomware sejauh ini merupakan jenis yang paling umum.

Siapa target untuk ransomware?

Ada beberapa cara penyerang memilih organisasi yang mereka targetkan dengan ransomware. Kadang-kadang ini masalah kesempatan: misalnya, penyerang mungkin menargetkan universitas karena mereka cenderung memiliki tim keamanan yang lebih kecil dan basis pengguna yang berbeda yang melakukan banyak berbagi file, sehingga lebih mudah untuk menembus pertahanan mereka.

Di sisi lain, beberapa organisasi menggoda target karena mereka cenderung membayar tebusan dengan cepat. Misalnya, instansi pemerintah atau fasilitas medis seringkali memerlukan akses langsung ke file mereka. Firma hukum dan organisasi lain dengan data sensitif mungkin bersedia membayar untuk menjaga berita kompromi tetap diam - dan organisasi ini mungkin secara unik sensitif terhadap serangan kebocoran.

Tetapi jangan merasa kamu aman jika kamu tidak cocok dengan kategori ini: seperti yang kami catat, beberapa ransomware menyebar secara otomatis dan tanpa pandang bulu di internet.

Bagaimana mencegah ransomware

Ada sejumlah langkah defensif yang dapat kamu ambil untuk mencegah infeksi ransomware. Langkah-langkah ini tentu saja merupakan praktik keamanan yang baik secara umum, jadi mengikuti mereka meningkatkan pertahanan kamu dari semua jenis serangan:

• Pertahankan sistem operasi kamu ditambal dan diperbarui untuk memastikan kamu memiliki lebih sedikit kerentanan untuk dieksploitasi.
• Jangan menginstal perangkat lunak atau memberikan hak administratif kecuali kamu tahu persis apa itu dan apa fungsinya.
• Instal perangkat lunak antivirus, yang mendeteksi program jahat seperti ransomware saat mereka tiba, dan perangkat lunak daftar putih, yang mencegah aplikasi yang tidak sah untuk dieksekusi.
• Dan, tentu saja, buat cadangan file kamu, sering dan otomatis! Itu tidak akan menghentikan serangan malware, tetapi dapat membuat kerusakan yang disebabkan oleh salah satu yang kurang signifikan.

Penghapusan Ransomware

Jika komputer kamu telah terinfeksi ransomware, kamu harus mendapatkan kembali kendali atas mesin kamu. Steve Ragan dari CSO memiliki video yang bagus yang menunjukkan bagaimana melakukan ini pada mesin Windows 10:

Video memiliki semua detail, tetapi langkah-langkah penting adalah:

• Reboot Windows 10 ke mode aman
• Instal perangkat lunak antimalware
• Pindai sistem untuk menemukan program ransomware
• Kembalikan komputer ke kondisi sebelumnya

Tetapi inilah hal penting yang perlu diingat: saat berjalan melalui langkah-langkah ini dapat menghapus malware dari komputer kamu dan mengembalikannya ke kendali kamu, itu tidak akan mendekripsi file kamu. Transformasi mereka menjadi tidak terbaca telah terjadi, dan jika malware sama sekali canggih, secara matematis tidak mungkin bagi siapa pun untuk mendekripsi mereka tanpa akses ke kunci yang dipegang oleh penyerang. Bahkan, dengan menghapus malware, kamu telah mencegah kemungkinan mengembalikan file kamu dengan membayar para penyerang tebusan yang mereka minta.

Fakta dan figur Ransomware

Ransomware adalah bisnis besar. Ada banyak uang dalam ransomware, dan pasar berkembang pesat sejak awal dekade. Pada tahun 2017, ransomware menghasilkan kerugian $ 5 miliar, baik dalam hal uang tebusan yang dibayarkan dan dibelanjakan serta kehilangan waktu dalam memulihkan dari serangan. Itu naik 15 kali dari 2015. Pada kuartal pertama 2018, hanya satu jenis perangkat lunak ransomware, SamSam, yang mengumpulkan $ 1 juta uang tebusan.

Beberapa pasar sangat rentan terhadap tebusan — dan membayar tebusan. Banyak serangan ransomware tingkat tinggi telah terjadi di rumah sakit atau organisasi medis lainnya, yang membuat target yang menggoda: penyerang tahu bahwa, dengan kehidupan yang benar-benar seimbang, perusahaan-perusahaan ini lebih cenderung hanya membayar tebusan yang relatif rendah untuk membuat masalah hilang. Diperkirakan 45 persen serangan ransomware menargetkan orgasme kesehatan, dan, sebaliknya, 85 persen infeksi malware di organisasi kesehatan adalah ransomware. Industri menggoda lainnya? Sektor jasa keuangan, seperti yang dikatakan Willie Sutton terkenal, di mana uang itu berada. Diperkirakan 90 persen lembaga keuangan menjadi sasaran serangan ransomware pada 2017.

Perangkat lunak anti-malware kamu tidak akan selalu melindungi kamu. Ransomware terus-menerus ditulis dan diubah oleh pengembangnya, sehingga tanda tangannya sering tidak ditangkap oleh program anti-virus biasa. Faktanya, sebanyak 75 persen perusahaan yang menjadi korban ransomware menjalankan perlindungan endpoint terbaru pada mesin yang terinfeksi.

Ransomware tidak lazim seperti dulu. Jika kamu ingin sedikit berita baik, inilah ini: jumlah serangan ransomware, setelah meledak di pertengahan 10-an, telah mengalami penurunan, meskipun angka awalnya cukup tinggi sehingga masih ada. Tetapi pada kuartal pertama 2017, serangan ransomware merupakan 60 persen dari muatan malware; sekarang turun menjadi 5 persen.

Ransomware menurun?

Ada apa di balik kemiringan besar ini? Dalam banyak hal ini adalah keputusan ekonomi berdasarkan mata uang pilihan cybercriminal: bitcoin. Mengekstraksi uang tebusan dari korban selalu dipukul atau dilewatkan; mereka mungkin tidak memutuskan untuk membayar, atau bahkan jika mereka mau, mereka mungkin tidak cukup akrab dengan bitcoin untuk mengetahui bagaimana cara sebenarnya melakukannya.

Seperti yang Kaspersky tunjukkan, penurunan ransomware telah diimbangi dengan peningkatan yang disebut malware cryptomining, yang menginfeksi komputer korban dan menggunakan kekuatan komputernya untuk menciptakan (atau menambang, dalam istilah cryptocurrency) bitcoin tanpa diketahui pemiliknya. Ini adalah rute yang rapi untuk menggunakan sumber daya orang lain untuk mendapatkan bitcoin yang melewati sebagian besar kesulitan dalam mencetak uang tebusan, dan itu hanya menjadi lebih menarik sebagai serangan cyber karena harga bitcoin melonjak pada akhir 2017.

Namun, itu tidak berarti ancaman sudah berakhir. Barkly menjelaskan bahwa ada dua jenis penyerang ransomware yang berbeda: serangan "komoditas" yang mencoba menginfeksi komputer secara membabi buta dengan volume yang tipis dan memasukkan apa yang disebut platform "ransomware sebagai layanan" yang dapat disewa oleh penjahat; dan kelompok sasaran yang fokus pada segmen pasar dan organisasi yang rentan. Kamu harus waspada jika kamu berada di kategori yang terakhir, tidak masalah jika boom ransomware besar telah berlalu.

Dengan harga bitcoin turun selama 2018, analisis biaya-manfaat untuk penyerang mungkin bergeser kembali. Pada akhirnya, menggunakan ransomware atau cryptomining malware adalah keputusan bisnis untuk para penyerang, kata Steve Grobman, chief technology officer di McAfee. "Ketika harga cryptocurrency turun, itu wajar untuk melihat pergeseran kembali [ke ransomware]."

Haruskah kamu membayar uang tebusan?

Jika sistem kamu telah terinfeksi malware, dan kamu kehilangan data vital yang tidak dapat kamu pulihkan dari cadangan, haruskah kamu membayar uang tebusan?

Ketika berbicara secara teoritis, sebagian besar lembaga penegak hukum mendesak kamu untuk tidak membayar penyerang ransomware, dengan logika bahwa hal itu hanya mendorong peretas untuk membuat lebih banyak ransomware. Yang mengatakan, banyak organisasi yang mendapati diri mereka menderita malware dengan cepat berhenti berpikir dalam hal "kebaikan yang lebih besar" dan mulai melakukan analisis biaya-manfaat, menimbang harga tebusan terhadap nilai data yang dienkripsi. Menurut penelitian dari Trend Micro, sementara 66 persen perusahaan mengatakan mereka tidak akan pernah membayar tebusan sebagai poin prinsip, dalam praktiknya 65 persen benar-benar membayar tebusan ketika mereka terkena.

Penyerang Ransomware menjaga harga relatif rendah - biasanya antara $ 700 dan $ 1.300, jumlah yang biasanya mampu dibayar perusahaan dalam waktu singkat. Beberapa malware yang sangat canggih akan mendeteksi negara tempat komputer terinfeksi menjalankan dan menyesuaikan tebusan agar sesuai dengan ekonomi negara tersebut, menuntut lebih banyak dari perusahaan di negara kaya dan lebih sedikit dari yang ada di daerah miskin.

Sering ada diskon yang ditawarkan untuk bertindak cepat, sehingga mendorong para korban untuk membayar dengan cepat sebelum terlalu memikirkannya. Secara umum, titik harga ditetapkan sehingga cukup tinggi untuk bernilai sementara pidana, tetapi cukup rendah sehingga sering lebih murah daripada apa yang harus dibayar oleh korban untuk memulihkan komputer mereka atau merekonstruksi data yang hilang. Dengan mengingat hal itu, beberapa perusahaan mulai membangun kebutuhan potensial untuk membayar tebusan ke dalam rencana keamanan mereka: misalnya, beberapa perusahaan besar Inggris yang tidak terlibat dengan cryptocurrency memegang beberapa Bitcoin sebagai cadangan khusus untuk pembayaran tebusan.

Ada beberapa hal yang sulit untuk diingat di sini, mengingat bahwa orang yang kamu hadapi tentu saja adalah penjahat. Pertama, apa yang tampak seperti ransomware mungkin tidak benar-benar mengenkripsi data kamu sama sekali; pastikan kamu tidak berurusan dengan apa yang disebut "scareware" sebelum kamu mengirim uang kepada siapa pun. Dan kedua, membayar penyerang tidak menjamin bahwa kamu akan mendapatkan file kamu kembali. Kadang-kadang penjahat hanya mengambil uang dan lari, dan bahkan mungkin tidak membangun fungsionalitas dekripsi ke dalam malware. Tetapi malware semacam itu akan dengan cepat mendapatkan reputasi dan tidak akan menghasilkan pendapatan, jadi dalam banyak kasus - Gary Sockrider, teknolog utama keamanan di Arbor Networks, memperkirakan sekitar 65 hingga 70 persen dari waktu - penjahat datang dan data kamu dipulihkan .

Contoh Ransomware

Sementara ransomware secara teknis sudah ada sejak tahun 90-an, itu hanya dalam lima tahun terakhir atau lebih sehingga benar-benar lepas landas, sebagian besar karena ketersediaan metode pembayaran yang tidak dapat dilacak seperti Bitcoin. Beberapa pelanggar terburuk adalah:

• CryptoLocker, serangan 2013 yang meluncurkan usia ransomware modern dan menginfeksi hingga 500.000 mesin pada puncaknya
• TeslaCrypt, yang menargetkan file game dan melihat peningkatan terus-menerus selama masa terornya
• SimpleLocker, serangan ransomware pertama yang tersebar luas yang berfokus pada perangkat seluler
• WannaCry, yang menyebar secara otonom dari komputer ke komputer menggunakan EternalBlue, sebuah eksploitasi yang dikembangkan oleh NSA dan kemudian dicuri oleh peretas
• NotPetya, yang juga menggunakan EternalBlue dan mungkin telah menjadi bagian dari serangan cyber yang diarahkan Rusia terhadap Ukraina
• Locky, yang mulai menyebar pada tahun 2016, "mirip dalam mode serangannya dengan perangkat lunak perbankan terkenal Dridex."

Dan daftar ini hanya akan menjadi lebih lama. Bahkan ketika artikel ini disusun, gelombang baru ransomware, dijuluki BadRabbit, tersebar di perusahaan-perusahaan media di Eropa Timur dan Asia. Sangat penting untuk mengikuti tips yang tercantum di sini untuk melindungi diri kamu.

Keyword: ransomware, cara kerja ransomware, cara hapus ransomware