{"id":323,"date":"2016-03-31T17:46:55","date_gmt":"2016-03-31T10:46:55","guid":{"rendered":"http:\/\/josh.rootbrain.com\/blog\/?p=323"},"modified":"2016-05-24T17:53:28","modified_gmt":"2016-05-24T10:53:28","slug":"restore-backup-sebagai-satu-satunya-solusi-penanganan-ransomware","status":"publish","type":"post","link":"https:\/\/josh.rootbrain.com\/blog\/2016\/03\/31\/restore-backup-sebagai-satu-satunya-solusi-penanganan-ransomware\/","title":{"rendered":"Restore Backup, sebagai satu-satunya solusi penanganan Ransomware"},"content":{"rendered":"
<\/div>\n

\"ransom\"<\/em>INFOsec.ID \u2013\u00a0Sedia payung sebelum hujan<\/em><\/strong>, merupakan peribahasa yang paling tepat untuk menanggapi\u00a0banyaknya kejadian cybercrime \u00a0yang memanfaatkan\u00a0malware\u00a0ransomware \u00a0<\/em>yang marak\u00a0belakangan ini.<\/p>\n

Ransomware merupakan istilah untuk jenis malware yang melakukan enkripsi\u00a0file\/dokumen pada perangkat\u00a0Server\/Komputer\/Mobile kemudian\u00a0meminta tebusan kepada pemilik dokumen jika masih menginginkan file\/dokumen tersebut kembali (terdekripsi). Pelaku yang memanfaatkan ransomware biasanya menggunakan algoritma\u00a0enkripsi yang cukup kuat sehingga hanya bisa direcovery jika\u00a0memiliki kunci yang tepat.<\/p>\n

Hari rabu lalu (kemarin), tanggal 30 Maret 2016, salah seorang dari perusahaan client saya\u00a0di Kalimantan tiba-tiba menghubungi \u00a0via telepon, Beliau menanyakan tentang malware\/virus yang menginfeksi beberapa Server dan PC berbasis Windows mereka sejak tanggal 27 Maret lalu. Beliau menginformasikan jika semua file pada Server mereka tidak dapat dibuka dan berubah nama menjadi berekstensi *.xtbl\u00a0. Mendengar informasi tersebut, feeling<\/em>\u00a0saya langsung menyatakan\u00a0pasti ransomware.<\/em>\u00a0Setelah saya gali informasi lagi, apakah ada informasi dan pesan-pesan yang muncul pada\u00a0komputer server tersebut seperti file terenkripsi dan permintaan komunikasi atau pembayaran. Ternyata betul, disebut bahwa ada informasi pesan pada Wallpaper desktop mesin terinfeksi tersebut, terdapat juga file Readme.txt dan How to decrypt your files.txt.<\/p>\n

\"cyber_baba2-ransomware\"
Tampilan Desktop \u2013 wallpaper mesin terinfeksi ransomware *.xtbl<\/figcaption><\/figure>\n
\"cyber_baba2-ransomware2\"
Daftar File dan Dokumen terinfeksi ransomware *.xtbl<\/figcaption><\/figure>\n

Saat itu juga, saya langsung menginformasikan bahwa itu merupakan salah satu jenis\u00a0malware ransomware<\/em>, yang bertujuan men-sandera seluruh file file\/dokumen dengan enkripsi \u00a0dan akan meminta bayaran sebagai tebusan agar file file dapat terdekripsi kembali. \u00a0Saran saya untuk tidak mengikuti keinginan pelaku dan tidak perlu menghubungi mereka. \u00a0Saya konfirmasi juga apakah mereka memiliki backup data dan system mesin tersebut, untungnya mereka menjawab ya. Meskipun backup tersebut mungkin bukan\u00a0versi yang relatif baru. Saya juga teringat 2 tahun lalu pernah memasang server NAS yang memang ditujukan \u00a0untuk memirror\/backup seluruh server server di perusahaan tersebut. Semoga NAS backup tersebut sering difungsikan dan bisa digunakan untuk merestore system pada\u00a0server tersebut.<\/p>\n

Mungkin ada pertanyaan, kenapa tidak menyarankan untuk mengikuti instruksi dengan membayar untuk mendapatkan kunci atau\u00a0\u00a0berinteraksi dengan pelaku\/pemilik ransomware?\u00a0Bukankah lebih mudah mendapatkan file dan dokumen kembali dengan utuh? Ya, memang dengan mengikuti permintaan pelaku, ada kemungkinan mendapatkan file\/dokumen kita kembali, tetapi tidak ada jaminan mereka memberikan kunci yang tepat, atau kunci yang diberikan dapat mengembalikan semua file\/dokumen terenkripsi. Sama halnya saat kita berkomunikasi\u00a0dengan penyandera yang tidak kita ketahui atau kenal sama sekali pelakunya dan tidak tahu apa yang mungkin dilakukannya. Instruksi pembayaran-pun dilakukan secara anonim melalui Bitcoin yang relatif sangat sulit untuk penelusurannya. \u00a0Atau meskipun ternyata semua file\/dokumen dapat direcover dengan mengikuti instruksi mereka (membayar kunci), maka tidak tertutup kemungkinan mereka akan mencatat atau menandai perusahaan\u00a0dan\u00a0akan beraksi mengulangi kembali dengan teknik sedikit berbeda setelah mengetahui si perusahaan\u00a0\u00a0bersedia membayar kunci tersebut, atau menjadikan perusahaan sebagai target kembali dikemudian hari.<\/p>\n

Bagaimana mencegah kemungkinan terinfeksi malware ransomware?<\/em><\/p>\n

Setiap organisasi atau\u00a0perusahaan yang memanfaatkan Teknologi Informasi rentan terhadap malware ransomware<\/em>\u00a0, selain dengan teknologi proteksi yang baik seperti Anti Virus\/Anti Malware disisi Jaringan\/Server\/PC\/Mobile, kesadaran terhadap keamanan (security awareness)<\/em>\u00a0setiap person pengguna dan pengelola TI sangat berperan penting untuk mencegah terinfeksi ransomware.\u00a0<\/em><\/p>\n

Ransomware<\/em> umumnya menyebar melalui internet (email\/mailing list\/attachment\/website\/url), pelaku biasanya mengirimkan email massal (sehingga sering dianggap spam beberapa mail server) disertai attachment (berupa file dokumen maupun archive .xlsx .docx .zip .rar dst) biasanya menyisipkan\u00a0trojan\/malware pada dokumen\u00a0ataupun url menuju file dokumen yang berisi trojan\/malware. Jika mail server atau filtering\u00a0jaringan\u00a0tidak dilengkapi teknologi proteksi malware\/virus yang mumpuni, maka tidak tertutup kemungkinan dokumen dokumen tersebut akan masuk ke INBOX atau Komputer\/PC pengguna. \u00a0Tetapi jika pengguna sudah terlatih dan aware<\/em> terkait email spam ber-attachment<\/em> dan malware yang masuk ke INBOX\/SPAM Box, seharusnya\u00a0tidak\u00a0perlu kuatir, karena pengguna yang\u00a0sudah paham resiko\u00a0malware\u00a0tidak akan mencoba-coba untuk membukanya. \u00a0Masalahnya masih belum banyak orang yang sadar (aware) <\/em>resiko\u00a0keamanan dari serangan malware tersebut. \u00a0Selain melalui email, banyak juga malware ransomware yang menyebar dibantu melalui media social, yang sengaja menggunakan judul page URL yang menarik banyak perhatian pembaca, dan sering\u00a0tidak disadari juga oleh orang yang mem-posting<\/em>\u00a0atau yang men-share<\/em> URL tersebut.<\/p>\n

Hari ini (31 Maret 2016), tersebar berita adanya ransomware bernama kimcilware<\/em><\/a> yang\u00a0menginfeksi beberapa website berbasis Magento, framework\u00a0khusus e-commerce. Penulis menduga\u00a0jika malware\u00a0kimcilware <\/em>merupakan\u00a0hasil pekerjaan\u00a0orang indonesia, dilihat\u00a0dari alamat\u00a0emailnya menggunakan tuyuljahat@hotmail.com . \u00a0<\/em><\/p>\n

\"ransom-note\"
Pesan Kimcilware<\/figcaption><\/figure>\n

 <\/p>\n

\"encrypted-files-in-folder\"
Daftar File terenkripsi Kimcilware<\/figcaption><\/figure>\n

Menurut analisis penulis,\u00a0malware yang disebut ransomware kimcilware <\/em>diatas\u00a0berbeda dengan ransomware\u00a0contoh sebelumnya (*.locky, *.xtbl dll), yang mampu\u00a0otomatis menyebar dan menginfeksi targetnya. Kimcilware kemungkinan besar dieksekusi secara manual oleh sipelaku setelah berhasil mengupload webshell (phpshell) dengan memanfaatkan kelemahan framework Magneto dan menggunakan php script untuk enkripsi. Hal ini dapat diamati dari beberapa situs yang diretas dengan script yang sama oleh Kimcilware<\/a>, umumnya website-website tersebut hosting di mesin server Linux yang memiliki proteksi keamanan di level file ownership dan permission untuk setiap akun hosting. Pada ransomware yang umum seperti *.locky, *.xtbl, malware dapat menginfeksi seluruh system dengan priviledge administrator system, sehingga bahkan mampu mendisable\/locked fasilitas restore point MS Windows. Pada kasus kimcilware, <\/em>si pelaku hanya mampu mengenkripsi folder salah satu akun hosting yang sebelumnya berhasil di take over. Dari informasi pada forum magento<\/a>\u00a0, di peroleh informasi jika ada beberapa domain yang menggunakan CMS\/framework yang sama \u00a0pada server tersebut, tetapi tidak ikut terinfeksi.<\/p>\n

Jika memang benar ini adalah hasil pekerjaan \u201ciseng\u201d<\/em>\u00a0dari anak Indonesia, sangat disayangkan jika menggunakan kemampuannya dalam\u00a0membobol situs disalahgunakan untuk mencari keuntungan dengan men-sandera dokumen dan file milik orang lain. Motif pekerjaan seperti ini sudah tergolong sangat merugikan dan memang bertujuan jahat yang sifatnya pemerasan, berbeda dengan para hacker atau defacer umumnya hanya menambahkan informasi pesan\u00a0jika sistem memiliki kelemahan sembari menampilkan nickname pelaku (defacing)<\/em>.<\/p>\n

Sumber :\u00a0 http:\/\/infosec.id\/2016\/03\/restore-backup-sebagai-satu-satunya-solusi-penanganan-ransomware\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

INFOsec.ID \u2013\u00a0Sedia payung sebelum hujan, merupakan peribahasa yang paling tepat untuk menanggapi\u00a0banyaknya kejadian cybercrime \u00a0yang memanfaatkan\u00a0malware\u00a0ransomware \u00a0yang marak\u00a0belakangan ini. Ransomware merupakan istilah untuk jenis malware yang melakukan enkripsi\u00a0file\/dokumen pada perangkat\u00a0Server\/Komputer\/Mobile kemudian\u00a0meminta tebusan kepada pemilik dokumen jika masih menginginkan file\/dokumen tersebut kembali (terdekripsi). Pelaku yang memanfaatkan ransomware biasanya menggunakan algoritma\u00a0enkripsi yang cukup kuat sehingga hanya bisa […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/posts\/323"}],"collection":[{"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/comments?post=323"}],"version-history":[{"count":4,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/posts\/323\/revisions"}],"predecessor-version":[{"id":329,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/posts\/323\/revisions\/329"}],"wp:attachment":[{"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/media?parent=323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/categories?post=323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/josh.rootbrain.com\/blog\/wp-json\/wp\/v2\/tags?post=323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}