Tuesday, February 4, 2014

Hati-hati dengan Virus Cryptolocker

Wihartoyo     Tuesday, February 04, 2014    


Saya sering mewanti-wanti ke beberapa teman untuk mengabaikan message yang telah masuk ke junk folder pada sytem mail kita, kecuali dari contact yang kita kenal. Namun, meskipun contact yang kita kenal pun seandainya kita tidak dalam suatu pembahasan sesuai dengan content yang terkirim via e-mail tersebut, kita tetap harus hati-hati.  Jangan pernah membuka attachment apapun yang terkirim melalui e-mail yang mencurigakan tersebut tanpa terlebih dahulu meminta konfirmasi dari pengirim.
Beberapa saat lalu saya sempat ditanya sama seorang teman tentang virus Cryptolocker.  Ah, virus apalagi itu? Ternyata virus ini adalah virus yang secara psikologis potensial membuat orang menjadi lebih stress daripada sekedar virus yang menghilangkan file atau menyamar sebagai suatu file sementara file kita aman disembunyikan oleh virus tersebut.  Bagaimana bisa membuat kita stress? Saya katakan kita bisa stress karena virus ini tidak menghilangkan file kita.  File kita tetap ada, tetapi kita tidak bisa melakukan apapun terhadap file kita selain membiarkannya atau menghapusnya sama sekali.
Virus yang diketahui pertama kali menyerang pada September 2013 ini masuk kelompok malware ransomware dimana dia akan membatasi akses terhadap sumberdaya yang telah terinfeksi. Virus ini menyebar melalui attachment e-mail. Ketika diaktifkan virus ini akan mengenkripsi terhadap beberapa jenis file dan pada saat yang bersamaan server yang menjalankan malware control akan menggenerate public key-pair  untuk melakukan dekripsi. Untuk menghindari pelacakan, server bisa berupa local proxy dan sering berpindah pindah. Bila berhasil menginfeksi target, virus kemudian akan memberitahukan kepada pemilik dokumen untuk membayar sejumlah tertentu (USD 300 atau EUR 300) dalam jangka waktu tertentu melalui pre-paid cash voucher anonim seperti MoneyPak atau Ukash. Bila jangka waktu yang ditentukan terlewati, maka secara otomatis public-key yang ditawarkan akan dihapus dari server. Menurut Symantec, 3% korban memilih untuk membayar sehingga mereka bisa mendapatkan public-key nya dengan memasukkan private-key yang digenerate oleh virus.  Namun, banyak pula dari korban yang membayar tidak bisa mendapatkan dokumennya kembali. Alias tidak bisa di dekrip.

Pada Desember 2013 muncul Cryptolocker ver. 2.0.  Berbeda dengan pendahulunya yang menggunakan RSA 2048 key-pair, Cryptolocker yang ini mengunakan RSA 1024 key-pair dan Tripple DES algorithm.  Versi 2.0 ini menggunakan sambungan P2P semacam torrent atau removable media.  Dan sepertinya, kabar baiknya untuk yang ver. 2.0 ( adalah untuk komputer yang tidak terinstall .Net framework maka mungkin virus ini tidak berdaya, karena virus ini dibangun dengan menggunakan C# berbeda dengan pendahulunya yang menggunakan C++.  Dan berbeda dengan pendahulunya juga adalah bahwa pada versi 2.0 ini hanya menerima pembayaran dengan menggunakan bitcoin.  Jadi antara ver. 2.0 dan pendahulunya bisa diperkirakan dibuat oleh pihak yang berbeda.

Mitigasi.
Software pengamanan semacam antivirus memang didisain untuk mendeteksi kehadiran suatu ancaman.  Tapi mungkin tidak semua ancaman termasuk Cryptolocker bisa terdeteksi.  Bisa jadi cryptolocker baru terdeteksi ketika aktifitas enkripsinya selesai.  Namun bila ada antivirus yang mampu mendeteksi kehadiran Cryptolocker sebelum seluruh aktifitas enkripsinya selesai, segera lakukan proses removal. Atau matikan segera secara paksa (Mungkin ini adalah langkah paranoid,  namun dalam beberapa hal mungkin kita memutuskan bahwa asset dokumen kita jauh lebh berharga daripada hardware pc kita).
Untuk melakukan mitigasi terhadap kemungkinan kehilangan dokumen sebaiknya kita melakukan backup offline ke eksternal storage yang tidak shared.
Bila telah terinfeksi dan itu merupakan satu-satunya dokumen yang kita punya, maka mengingat panjangnya key yang digunakan oleh pembuat virus untuk mengenkrip dokumen kita, maka tidak ada pilihan selain membayar sejumlah dana tersebut. Bila setelah membayar pun ternyata file tetap tidak bisa didekrip maka berarti kita harus merelakan file kita hilang.  Pembuat virus bukan lembaga layanan yang bisa dinego.  Mereka adalah murni kriminal. Brute-force attack untuk melakukan coba-coba dekripsi dokumen bisa dipastikan tidak akan bisa.

Recommended