Lakukan 6 Langkah ini Jika Anda Terkena Serangan Ransomware
Ransomware adalah malware yang menggunakan enkripsi untuk menyimpan informasi korban dengan tebusan. Data penting pengguna atau organisasi dienkripsi sehingga mereka tidak dapat mengakses file, database, atau aplikasi. Uang tebusan kemudian diminta untuk memberikan akses. Ransomware sering dirancang untuk menyebar ke seluruh jaringan dan menargetkan database dan server file, dan dengan demikian dapat dengan cepat melumpuhkan seluruh organisasi.
Ransomware merupakan ancaman yang berkembang, menghasilkan miliaran dolar dalam pembayaran kepada penjahat dunia maya dan menimbulkan kerusakan dan pengeluaran yang signifikan untuk bisnis dan organisasi pemerintah.
6 Langkah ini bisa dilakukan jika perangkat komputer anda mengalami serangan ransomware .
2. Mengisolasi perangkat yang terinfeksi
3. Identifikasi infeksi ransomware
4. Cari alat dekripsi ransomware
5. Pulihkan file dengan alat pemulihan data
6. Buat cadangan data
1. Melaporkan ransomware ke pihak berwenang
Jika Anda adalah korban serangan ransomware, kami sarankan untuk melaporkan kejadian ini kepada pihak berwenang. Dengan memberikan informasi kepada lembaga penegak hukum, Anda akan membantu melacak kejahatan dunia maya dan berpotensi membantu penuntutan para penyerang. .
Daftar otoritas lokal tempat serangan ransomware harus dilaporkan salah satunya adalah website Patroli Siber .
2. Mengisolasi perangkat yang terinfeksi
Beberapa infeksi jenis ransomware dirancang untuk mengenkripsi file di dalam perangkat penyimpanan eksternal, menginfeksinya, dan bahkan menyebar ke seluruh jaringan lokal. Untuk alasan ini, sangat penting untuk mengisolasi perangkat (komputer) yang terinfeksi sesegera mungkin.
Langkah 1: Putuskan sambungan dari internet.
Cara termudah untuk memutuskan komputer dari internet adalah dengan mencabut kabel Ethernet dari motherboard, namun, beberapa perangkat terhubung melalui jaringan nirkabel dan untuk beberapa pengguna (terutama mereka yang tidak terlalu paham teknologi), melepaskan kabel mungkin tampak sulit. Oleh karena itu, Anda juga dapat memutuskan sistem secara manual melalui Control Panel --> Network and Sharing Center --> Change adapter settings klik kanan pada interface jaringan kemudian pilih Disable .
Langkah 2: Cabut semua perangkat penyimpanan.
Seperti disebutkan di atas, ransomware mungkin mengenkripsi data dan menyusup ke semua perangkat penyimpanan yang terhubung ke komputer. Untuk alasan ini, semua perangkat penyimpanan eksternal (flash disk, hard drive portabel, dll.) harus segera diputuskan, namun, kami sangat menyarankan Anda untuk melakukan eject setiap perangkat sebelum memutuskan sambungan untuk mencegah kerusakan data.
Langkah 3: Log-out dari akun penyimpanan cloud.
Beberapa jenis ransomware mungkin dapat membajak perangkat lunak yang menangani data yang disimpan dalam " Cloud ". Oleh karena itu, data dapat rusak/terenkripsi. Untuk alasan ini, Anda harus keluar dari semua akun penyimpanan cloud di dalam browser dan perangkat lunak terkait lainnya. Anda juga harus mempertimbangkan untuk menghapus sementara perangkat lunak manajemen cloud sampai infeksi benar-benar hilang.
3. Identifikasi infeksi ransomware
Untuk menangani infeksi dengan benar, pertama-tama seseorang harus mengidentifikasinya. Beberapa infeksi ransomware menggunakan pesan permintaan tebusan sebagai pengantar (lihat file teks ransomware WALDO di bawah).
Namun, ini jarang terjadi. Dalam kebanyakan kasus, infeksi ransomware mengirimkan lebih banyak pesan langsung yang hanya menyatakan bahwa data dienkripsi dan bahwa korban harus membayar sejumlah uang tebusan. Perhatikan bahwa infeksi jenis ransomware biasanya menghasilkan pesan dengan nama file yang berbeda (misalnya, " _readme.txt ", " READ-ME.txt ", " DECRYPTION_INSTRUCTIONS.txt ", " DECRYPT_FILES.html", dll.). Oleh karena itu, menggunakan nama pesan tebusan mungkin tampak seperti cara yang baik untuk mengidentifikasi infeksi.
Masalahnya adalah sebagian besar nama ini generik dan beberapa infeksi menggunakan nama yang sama, meskipun pesan yang dikirim adalah berbeda dan infeksi itu sendiri tidak terkait. Oleh karena itu, menggunakan nama file pesan saja dapat menjadi tidak efektif dan bahkan menyebabkan hilangnya data permanen (misalnya, dengan mencoba mendekripsi data menggunakan alat yang dirancang untuk infeksi ransomware yang berbeda, pengguna cenderung berakhir dengan kerusakan permanen file dan dekripsi tidak akan mungkin lagi bahkan dengan alat yang benar).
Cara lain untuk mengidentifikasi infeksi ransomware adalah dengan memeriksa ekstensi file, yang ditambahkan ke setiap file terenkripsi. Infeksi Ransomware sering dinamai dengan ekstensi yang mereka tambahkan (lihat file yang dienkripsi oleh Qewe ransomware di bawah).
Metode ini hanya efektif, namun, ketika ekstensi yang ditambahkan unik - banyak infeksi ransomware menambahkan ekstensi generik (misalnya, " .encrypted ", " .enc ", " .crypted ", " .locked ", dll.). Dalam kasus ini, mengidentifikasi ransomware dengan ekstensi yang ditambahkan menjadi tidak mungkin.
Salah satu cara termudah dan tercepat untuk mengidentifikasi infeksi ransomware adalah dengan menggunakan situs web ID Ransomware . Layanan ini mendukung sebagian besar infeksi ransomware yang ada. Korban cukup mengunggah pesan tebusan dan/atau satu file terenkripsi (kami menyarankan Anda untuk mengunggah keduanya jika memungkinkan).
Ransomware akan diidentifikasi dalam hitungan detik dan Anda akan diberikan berbagai detail, seperti nama keluarga malware yang terinfeksi, apakah dapat didekripsi, dan sebagainya. Contoh (Qewe [Stop/Djvu] ransomware):
Jika data Anda dienkripsi oleh ransomware yang tidak didukung oleh ID Ransomware, Anda selalu dapat mencoba mencari di internet dengan menggunakan kata kunci tertentu (misalnya, judul pesan tebusan, ekstensi file, email kontak yang disediakan, alamat dompet kripto, dll. ).
4. Cari alat dekripsi ransomware
Algoritme enkripsi yang digunakan oleh sebagian besar infeksi jenis ransomware sangat canggih dan, jika enkripsi dilakukan dengan benar, hanya pengembang yang mampu memulihkan data. Ini karena dekripsi memerlukan kunci tertentu, yang dihasilkan selama enkripsi. Memulihkan data tanpa kunci tidak mungkin. Dalam kebanyakan kasus, penjahat dunia maya menyimpan kunci di server jauh, daripada menggunakan mesin yang terinfeksi sebagai host.
Dharma (CrySis), Phobos, dan keluarga infeksi ransomware kelas atas lainnya hampir tanpa cacat, dan dengan demikian memulihkan data yang dienkripsi tanpa keterlibatan pengembang sama sekali tidak mungkin. Meskipun demikian, ada lusinan infeksi jenis ransomware yang kurang berkembang dan mengandung sejumlah kelemahan (misalnya, penggunaan kunci enkripsi/dekripsi yang identik untuk setiap korban, kunci yang disimpan secara lokal, dll.).
Menemukan alat dekripsi yang benar di internet bisa sangat membuat frustrasi. Untuk alasan ini, kami menyarankan Anda menggunakan No More Ransom Project dan di sinilah mengidentifikasi infeksi ransomware berguna. Situs web No More Ransom Project berisi bagian " Alat Dekripsi " dengan bilah pencarian. Masukkan nama ransomware yang teridentifikasi, dan semua dekripsi yang tersedia (jika ada) akan dicantumkan.
5. Pulihkan file dengan alat pemulihan data
Tergantung pada situasinya (kualitas infeksi ransomware, jenis algoritma enkripsi yang digunakan, dll.), pemulihan data dengan alat pihak ketiga tertentu mungkin dapat dilakukan. Oleh karena itu, kami menyarankan Anda untuk menggunakan alat Recuva yang dikembangkan oleh CCleaner . Alat ini mendukung lebih dari seribu tipe data (grafik, video, audio, dokumen, dll.) dan sangat intuitif (sedikit pengetahuan diperlukan untuk memulihkan data). Selain itu, fitur pemulihan sepenuhnya gratis.
Langkah 1: Lakukan pemindaian.
Jalankan aplikasi Recuva dan ikuti wizard. Anda akan diminta dengan beberapa jendela yang memungkinkan Anda memilih jenis file apa yang akan dicari, lokasi mana yang harus dipindai, dll. Yang perlu Anda lakukan hanyalah memilih opsi yang Anda cari dan memulai pemindaian. Kami menyarankan Anda untuk mengaktifkan " Deep Scan " sebelum memulai, jika tidak, kemampuan pemindaian aplikasi akan dibatasi.
Tunggu hingga Recuva menyelesaikan pemindaian. Durasi pemindaian tergantung pada volume file (baik dalam jumlah maupun ukuran) yang Anda pindai (misalnya, beberapa ratus gigabyte dapat memakan waktu lebih dari satu jam untuk memindai). Karena itu, bersabarlah selama proses pemindaian. Kami juga menyarankan agar tidak memodifikasi atau menghapus file yang ada, karena ini dapat mengganggu pemindaian. Jika Anda menambahkan data tambahan (misalnya, mengunduh file/konten) saat memindai, ini akan memperpanjang proses:
Langkah 2: Pulihkan data.
Setelah proses selesai, pilih folder/file yang ingin Anda pulihkan dan cukup klik "Restore". Perhatikan bahwa beberapa ruang kosong pada drive penyimpanan Anda diperlukan untuk memulihkan data:
6. Buat cadangan data
Manajemen file yang tepat dan membuat cadangan sangat penting untuk keamanan data. Karena itu, selalu sangat berhati-hati dan berpikir ke depan.
Manajemen partisi: Kami menyarankan Anda menyimpan data Anda di beberapa partisi dan menghindari menyimpan file penting di dalam partisi yang berisi seluruh sistem operasi. Jika Anda jatuh ke dalam situasi di mana Anda tidak dapat mem-boot sistem dan terpaksa memformat disk tempat sistem operasi diinstal (dalam banyak kasus, ini adalah tempat bersembunyinya infeksi malware), Anda akan kehilangan semua data yang tersimpan di dalam drive itu.
Ini adalah keuntungan memiliki beberapa partisi: jika Anda memiliki seluruh perangkat penyimpanan yang ditetapkan ke satu partisi, Anda akan dipaksa untuk menghapus semuanya, namun, membuat beberapa partisi dan mengalokasikan data dengan benar memungkinkan Anda untuk mencegah masalah seperti itu. Anda dapat dengan mudah memformat satu partisi tanpa mempengaruhi yang lain.
Pencadangan data: Salah satu metode pencadangan yang paling andal adalah menggunakan perangkat penyimpanan eksternal dan tetap mencabutnya. Salin data Anda ke hard drive eksternal, flash drive, SSD, HDD, atau perangkat penyimpanan lainnya, cabut dan simpan di tempat yang kering jauh dari matahari dan suhu ekstrim.
Namun, cara ini cukup tidak efisien, karena pencadangan dan pembaruan data perlu dilakukan secara berkala. Anda juga dapat menggunakan layanan cloud atau server jarak jauh. Di sini, koneksi internet diperlukan dan selalu ada kemungkinan pelanggaran keamanan, meskipun ini sangat jarang terjadi.
Sebaiknya gunakan Microsoft OneDrive untuk mencadangkan file Anda. OneDrive memungkinkan Anda menyimpan file dan data pribadi di awan, menyinkronkan file di seluruh komputer dan perangkat seluler, memungkinkan Anda mengakses dan mengedit file dari semua perangkat Windows Anda. OneDrive memungkinkan Anda menyimpan, berbagi, dan mempratinjau file, mengakses riwayat unduhan, memindahkan, menghapus, dan mengganti nama file, serta membuat folder baru, dan banyak lagi.
Anda dapat mencadangkan folder dan file terpenting di PC (folder Desktop, Dokumen, dan Gambar). Beberapa fitur OneDrive yang lebih unggul termasuk versi file, yang menyimpan versi file yang lebih lama hingga 30 hari. OneDrive memiliki fitur recycle bean di mana semua file Anda yang dihapus disimpan untuk waktu yang terbatas. File yang dihapus tidak dihitung sebagai bagian dari alokasi pengguna.
Layanan ini dibangun menggunakan teknologi HTML5 dan memungkinkan Anda untuk mengunggah file hingga 300 MB melalui drag and drop ke browser web atau hingga 10 GB melalui aplikasi desktop OneDrive . Dengan OneDrive, Anda dapat mengunduh seluruh folder sebagai satu file ZIP dengan hingga 10.000 file, meskipun tidak dapat melebihi 15 GB per unduhan tunggal.
OneDrive hadir dengan penyimpanan gratis sebesar 5 GB, dengan opsi penyimpanan tambahan 100 GB, 1 TB, dan 6 TB tersedia dengan biaya berbasis langganan. Anda bisa mendapatkan salah satu dari paket penyimpanan ini dengan membeli penyimpanan tambahan secara terpisah atau dengan langganan Office 365.
