Virus Ransomware : Definisi, Pencegahan dan Penanganan

Dikutip dari Malwarebytes.com , Ransomware telah menjadi berita cukup banyak pada tahun 2021. Anda mungkin pernah mendengar cerita tentang serangan terhadap perusahaan besar, organisasi, atau lembaga pemerintah, atau mungkin Anda sebagai individu pernah mengalami serangan ransomware pada perangkat Anda sendiri. Ini adalah masalah yang signifikan dan prospek yang menakutkan untuk memiliki semua file dan data Anda disandera sampai Anda membayar. Jika Anda ingin tahu lebih banyak tentang ancaman ini, baca terus untuk mengetahui tentang berbagai bentuk ransomware, bagaimana Anda mendapatkannya, dari mana asalnya, siapa yang menjadi targetnya, dan akhirnya, apa yang dapat Anda lakukan untuk melindunginya.

Pembahasan dalam artikel ini meliputi :

1. Apa itu Ransomware ?
2. Sejarah Ransomware
3. Cara kerja Ransomware
4. Jenins-Jenis Ransomware
5. Pencegahan terhadap Ransomware
6. Cara menghapus Ransoeware

Apa itu Ransoeware ?

Ransom malware, atau ransomware, adalah jenis malware yang mencegah pengguna mengakses sistem atau file pribadi mereka dan menuntut pembayaran tebusan untuk mendapatkan kembali akses. Sementara beberapa orang mungkin berpikir "virus mengunci komputer saya", ransomware biasanya diklasifikasikan sebagai bentuk malware yang berbeda dari virus. Varian paling awal dari ransomware dikembangkan pada akhir 1980-an, dan pembayaran akan dikirim melalui snail mail. 

Hari ini, pembuat ransomware memerintahkan agar pembayaran dikirim melalui cryptocurrency atau kartu kredit, dan penyerang menargetkan individu, bisnis, dan organisasi dari semua jenis. Beberapa pembuat ransomware menjual layanan tersebut ke penjahat dunia maya lainnya, yang dikenal sebagai Ransomware-as-a-Service atau RaaS.

Sejarah Ransomware

Memeras pengguna komputer dengan cara ini bukanlah penemuan abad ke-21. Pada awal tahun 1989, pelopor primitif ransomware digunakan. Kasus nyata pertama ransomware dilaporkan di Rusia pada tahun 2005 . Sejak itu, ransomware telah menyebar ke seluruh dunia, dengan jenis baru yang terus terbukti berhasil. Pada tahun 2011, peningkatan dramatis dalam serangan ransomware diamati. Dalam serangan lebih lanjut, produsen perangkat lunak antivirus semakin memfokuskan pemindai virus mereka pada ransomware, terutama sejak 2016.

Perbedaan regional sering terlihat dalam berbagai serangan ransomware . Sebagai contoh:

1. Pesan yang salah tentang aplikasi yang tidak berlisensi:

Di beberapa negara, Trojan memberi tahu korban bahwa perangkat lunak tidak berlisensi diinstal di komputer mereka. Pesan tersebut kemudian meminta pengguna untuk melakukan pembayaran.

2. Klaim palsu tentang konten ilegal:

Di negara-negara di mana pengunduhan perangkat lunak ilegal adalah praktik umum, pendekatan ini tidak terlalu berhasil bagi penjahat dunia maya. Sebaliknya, pesan ransomware mengklaim bahwa mereka berasal dari lembaga penegak hukum dan bahwa pornografi anak atau konten ilegal lainnya telah ditemukan di komputer korban. Pesan itu juga berisi permintaan untuk biaya penalti yang harus dibayar.

Serangan ransomware terbesar

Salah satu serangan ransomware terbesar dan paling serius terjadi pada musim semi 2017 dan disebut WannaCry . Selama serangan itu, sekitar 200.000 korban dari sekitar 150 negara diminta untuk membayar uang tebusan dalam Bitcoin.

Cara Ransomware Bekerja dan Mengenai Target Sasaran

1. Malspam

Untuk mendapatkan akses, beberapa pelaku ancaman menggunakan spam, di mana mereka mengirim email dengan lampiran berbahaya ke sebanyak mungkin orang, melihat siapa yang membuka lampiran dan "mengambil umpan," sehingga untuk berbicara. Spam berbahaya, atau malspam , adalah email yang tidak diminta yang digunakan untuk mengirimkan malware. Email mungkin menyertakan lampiran jebakan, seperti PDF atau dokumen Word. Mungkin juga berisi tautan ke situs web berbahaya.

2. Malvertising

Metode infeksi populer lainnya adalah malvertising . Malvertising, atau iklan berbahaya, adalah penggunaan iklan online untuk mendistribusikan malware dengan sedikit atau tanpa interaksi pengguna yang diperlukan. Saat menjelajahi web, bahkan situs yang sah, pengguna dapat diarahkan ke server kriminal tanpa pernah mengklik iklan. Server ini membuat katalog detail tentang komputer korban dan lokasinya, lalu pilih malware yang paling cocok untuk dikirim. Seringkali, malware itu adalah ransomware .

Malvertising sering menggunakan iframe yang terinfeksi, atau elemen halaman web yang tidak terlihat, untuk melakukan tugasnya. Iframe dialihkan ke laman landas eksploit, dan kode berbahaya menyerang sistem dari laman landas melalui  kit eksploit . Semua ini terjadi tanpa sepengetahuan pengguna, oleh karena itu sering disebut sebagai drive-by-download .

3. Spear Phising 

Cara yang lebih tepat sasaran untuk serangan ransomware adalah melalui  spear phishing . Contoh spear phishing akan mengirim email ke karyawan perusahaan tertentu, mengklaim bahwa CEO meminta Anda untuk mengikuti survei karyawan penting, atau departemen SDM mengharuskan Anda mengunduh dan membaca kebijakan baru. Istilah "penangkapan ikan paus" digunakan untuk menggambarkan metode-metode yang ditargetkan pada pengambil keputusan tingkat tinggi dalam suatu organisasi, seperti CEO atau eksekutif lainnya.

4. Rekayasa sosial

Malspam, malvertising, dan spear phishing dapat, dan sering kali, mengandung unsur  rekayasa sosial . Pelaku ancaman dapat menggunakan rekayasa sosial untuk mengelabui orang agar membuka lampiran atau mengeklik tautan dengan terlihat sah, entah itu dengan terlihat dari lembaga tepercaya atau teman. Penjahat dunia maya menggunakan rekayasa sosial dalam jenis serangan ransomware lainnya, seperti menyamar sebagai FBI untuk menakut-nakuti pengguna agar membayar sejumlah uang untuk membuka kunci file mereka. 

Contoh lain dari rekayasa sosial adalah jika aktor ancaman mengumpulkan informasi dari profil media sosial publik Anda tentang minat Anda, tempat yang sering Anda kunjungi, pekerjaan Anda, dll., dan menggunakan beberapa informasi itu untuk mengirimi Anda pesan yang tampak familier bagi Anda. , berharap Anda mengeklik sebelum menyadari bahwa itu tidak sah.

5. Mengenkripsi file & menuntut tebusan

Metode apa pun yang digunakan pelaku ancaman, setelah mereka mendapatkan akses dan perangkat lunak ransomware (biasanya diaktifkan oleh korban dengan mengklik tautan atau membuka lampiran) mengenkripsi file atau data Anda sehingga Anda tidak dapat mengaksesnya, Anda akan melihat pesan yang menuntut pembayaran tebusan untuk mengembalikan apa yang mereka ambil. Seringkali penyerang akan meminta pembayaran melalui cryptocurrency.

Jenis-Jenis Ransomware

Ada tiga jenis utama ransomware, mulai dari tingkat keparahan yang ringan hingga Krisis Rudal Kuba yang berbahaya. Mereka adalah sebagai berikut:

1. Scareware

Scareware, ternyata, tidak begitu menakutkan. Ini termasuk perangkat lunak keamanan jahat dan penipuan dukungan teknis. Anda mungkin menerima pesan pop-up yang mengklaim bahwa malware ditemukan dan satu-satunya cara untuk menghilangkannya adalah dengan membayar. Jika Anda tidak melakukan apa-apa, kemungkinan Anda akan terus dibombardir dengan pop-up, tetapi file Anda pada dasarnya aman.

Program perangkat lunak keamanan siber yang sah tidak akan meminta pelanggan dengan cara ini. Jika Anda belum memiliki perangkat lunak perusahaan ini di komputer Anda, maka mereka tidak akan memantau Anda dari infeksi ransomware. Jika Anda memiliki perangkat lunak keamanan, Anda tidak perlu membayar untuk menghapus infeksi—Anda sudah membayar perangkat lunak untuk melakukan pekerjaan itu.

2. Screen Locker

Ketika ransomware lock-screen masuk ke komputer Anda, itu berarti Anda benar-benar dibekukan dari PC Anda. Saat memulai komputer Anda, jendela ukuran penuh akan muncul, sering kali disertai dengan segel resmi FBI atau Departemen Kehakiman AS yang mengatakan bahwa aktivitas ilegal telah terdeteksi di komputer Anda dan Anda harus membayar denda. Namun, FBI tidak akan membekukan Anda dari komputer Anda atau meminta pembayaran untuk aktivitas ilegal. Jika mereka mencurigai Anda melakukan pembajakan, pornografi anak, atau kejahatan dunia maya lainnya, mereka akan melalui jalur hukum yang sesuai.

3. Mengenkripsi ransomware

Ransomware dengan cara mengenkripsi file adalah mimpi buruk bagi para pengguna komputer. Ini adalah orang-orang yang mengambil file Anda dan mengenkripsinya, menuntut pembayaran untuk mendekripsi dan mengirim ulang. Alasan mengapa jenis ransomware ini sangat berbahaya adalah karena begitu penjahat dunia maya menguasai file Anda, tidak ada perangkat lunak keamanan atau pemulihan sistem yang dapat mengembalikannya kepada Anda. Kecuali Anda membayar uang tebusan sebagian besar, mereka hilang. Dan bahkan jika Anda membayar, tidak ada jaminan penjahat dunia maya akan mengembalikan file-file itu kepada Anda.

Pencegahan Terhadap Ransomware

Dilansir dari website uk.norton.com, Perangkat lunak berbahaya yang menggunakan enkripsi untuk menyimpan data untuk tebusan telah menjadi sangat sukses selama beberapa tahun terakhir. Tujuan dari perangkat lunak ini adalah untuk memeras uang dari para korban dengan janji memulihkan data terenkripsi. Seperti virus komputer lainnya, virus ini biasanya menemukan jalannya ke perangkat dengan mengeksploitasi lubang keamanan di perangkat lunak yang rentan atau dengan menipu seseorang untuk menginstalnya. Ransomware, seperti diketahui, mencetak korban profil tinggi seperti rumah sakit, sekolah umum, dan departemen kepolisian. Sekarang telah menemukan jalannya ke komputer rumah.

Model bisnis ransomware jahat telah berubah menjadi industri yang menguntungkan bagi para penjahat. Selama bertahun-tahun reputasi buruknya telah membuat tim penegak hukum bekerja sama dengan lembaga internasional untuk mengidentifikasi dan menjatuhkan operator penipuan.

Sebagian besar serangan ransomware yang terjadi di masa lalu telah dikaitkan dengan praktik perlindungan yang buruk oleh karyawan.

Ada beberapa yang harus dan tidak boleh dilakukan ketika terkena serangan ransomware.

1. Jangan membayar uang tebusan. 

Hal tersebut hanya mendorong dan mendanai penyerang ini. Bahkan jika uang tebusan dibayarkan, tidak ada jaminan bahwa Anda akan dapat memperoleh kembali akses ke file Anda.

2. Buat cadangan untuk file-file penting.  

Selalu buat cadangan data Anda!! Pemulihan file Anda dari cadangan adalah cara tercepat untuk mendapatkan kembali akses ke data Anda.

3. Jangan memberikan informasi pribadi saat menjawab email, panggilan telepon yang tidak diminta, pesan teks atau pesan instan.

Phisher akan mencoba mengelabui karyawan serta individu agar menginstal malware, atau mendapatkan intelijen untuk serangan dengan mengklaim berasal dari TI atau bisnis yang memiliki reputasi baik. Jangan pernah memberikan informasi pribadi Anda kepada orang yang tidak diminta.

4. Gunakan perangkat lunak antivirus terkemuka dan firewall. 

Mempertahankan firewall yang kuat dan memperbarui perangkat lunak keamanan Anda sangat penting. Sangat penting untuk menggunakan perangkat lunak antivirus dari perusahaan terkemuka karena semua perangkat lunak palsu di luar sana.

5. Lakukan pemindaian dan penyaringan konten di server email Anda. 

Email masuk harus dipindai untuk mengetahui ancaman yang diketahui dan harus memblokir semua jenis lampiran yang dapat menimbulkan ancaman.

6. Pastikan semua sistem dan perangkat lunak mutakhir dengan patch yang relevan.

Kit eksploitasi yang dihosting di situs web yang disusupi biasanya digunakan untuk menyebarkan malware. Penambalan reguler perangkat lunak rentan diperlukan untuk membantu mencegah infeksi.

7. Gunakan Virtual Private Network (VPN) yang terpercaya saat mengakses Wi-Fi publik. 

Pastikan Anda menggunakan Virtual Private Network (VPN) yang terpercaya  saat mengakses Wi-Fi publik. Jika Anda bepergian untuk bisnis, beri tahu departemen TI Anda sebelumnya, terutama jika Anda akan terhubung ke Wi-fi gratis saat bepergian.

Penjahat Ransomware sering menyerang bisnis kecil dan menengah. Di antara serangan cyber lainnya, ransomware adalah salah satu aktivitas kriminal yang dapat dengan mudah diatasi dengan solusi yang disebutkan di atas.

Cara Menghapus Ransomware

Serangan Ransomware pasti akan berhasil melewati pertahanan keamanan, terlepas dari persiapan yang tepat dan kebersihan keamanan . Pada titik ini, sangat penting untuk mendeteksi serangan sedini mungkin dan mencegahnya menyebar ke sistem dan perangkat lain.

Individu dan organisasi dapat mengikuti langkah-langkah ini untuk menghapus ransomware. Karyawan yang terkena ransomware harus segera memberi tahu manajer dan tim help desk mereka.

Langkah 1. Isolasi perangkat yang terinfeksi

Segera putuskan sambungan perangkat yang terpengaruh dari koneksi kabel atau nirkabel apa pun, termasuk internet, jaringan, perangkat seluler, flash drive, hard drive eksternal, akun penyimpanan cloud, dan drive jaringan. Ini akan mencegah ransomware menyebar ke perangkat lain.

Juga, periksa apakah ada perangkat yang terhubung ke perangkat yang terinfeksi terinfeksi oleh ransomware.

Jika tebusan belum diminta, segera hapus malware dari sistem. Jika uang tebusan telah diminta, berhati-hatilah dalam berhubungan dengan para pelaku, jika memang ada. Banyak sumber, termasuk FBI, merekomendasikan untuk tidak membayar uang tebusan.

Langkah 2. Tentukan jenis ransomware

Mengetahui jenis ransomware mana yang menginfeksi perangkat dapat membantu upaya perbaikan. Jika akses perangkat diblokir, seperti di locker ransomware, ini mungkin tidak dapat dilakukan. Perangkat yang terinfeksi mungkin perlu diperiksa oleh profesional keamanan yang berpengalaman atau didiagnosis dengan alat perangkat lunak. Beberapa alat tersedia sebagai freeware, sementara yang lain memerlukan langganan berbayar.

Langkah 3. Hapus ransomware

Sebelum memulihkan sistem, ransomware harus dihapus. Selama peretasan awal, perangkat lunak ransomware menginfeksi sistem dan mengenkripsi file dan/atau mengunci akses sistem. Hanya kata sandi atau kunci dekripsi yang akan membuka atau mendekripsi pembatasan.

Ada beberapa opsi untuk penghapusan ransomware:

1. Periksa apakah ransomware telah dihapus. 
Ransomware terkadang menghapus dirinya sendiri setelah menginfeksi sistem; di lain waktu, ia tetap berada di perangkat untuk menginfeksi perangkat atau file lain.

2. Gunakan antimalware/anti-ransomware.
Sebagian besar perangkat lunak antimalware dan anti-ransomware dapat mengkarantina dan menghapus perangkat lunak berbahaya.

3. Mintalah bantuan profesional keamanan.
Bekerja dengan profesional keamanan, baik di organisasi atau dukungan teknis pihak ketiga, untuk membantu penghapusan ransomware.

4. Hapus secara manual.
Jika memungkinkan, periksa perangkat lunak yang diinstal pada perangkat, dan hapus instalan file ransomware. Ini direkomendasikan hanya untuk profesional keamanan berpengalaman.

Perhatikan bahwa, meskipun ransomware telah dihapus, mungkin masih sulit untuk mengakses file terenkripsi. Alat dekripsi ransomware tersedia, dan banyak opsi antimalware dan anti-ransomware menawarkan fitur ini. Namun perlu diingat bahwa alat dekripsi tidak tersedia untuk setiap jenis ransomware.

Sebagai bagian dari aktivitas forensik , tim TI harus melakukan pemindaian mendetail terhadap perangkat atau sistem untuk memastikan tidak ada sisa ransomware yang tersisa. Mungkin perlu untuk mengkarantina perangkat yang terpengaruh untuk memastikan mereka benar-benar dibersihkan sebelum mengembalikannya ke layanan.

Langkah 4. Pulihkan sistem

Pulihkan file dengan memulihkan versi OS sebelumnya dari sebelum serangan terjadi. Jika cadangan tidak dienkripsi atau dikunci, pulihkan menggunakan fungsi Pemulihan Sistem . Catatan, file apa pun yang dibuat setelah tanggal pencadangan terakhir tidak akan dipulihkan.

Sebagian besar OS utama memiliki alat untuk memulihkan file dan menyediakan kemampuan lain untuk memulihkan sistem yang disusupi.

Setelah memulihkan sistem, pastikan untuk melakukan hal berikut:

• Perbarui semua kata sandi dan kode akses keamanan sesegera mungkin.
• Periksa untuk memastikan aturan firewall dan perangkat lunak antimalware terbaru. Ganti perangkat lunak keamanan dengan perangkat lunak yang lebih kuat jika perlu.
• Ikuti langkah-langkah pencegahan ransomware untuk menghindari infeksi ransomware di masa mendatang.