.webp)
Program jahat dengan nama lain Trojan.GenericKD.1492946 ini dapat mengenkripsi setiap data yang dijumpai baik yang berada di komputer lokal maupun yang berada di folder/drive yang di-mapping dengan akses full control.
Oleh karena itu, sebelum terjadi hal yang tidak diinginkan sebaiknya kita waspada dengan melakukan pencegahan terhadap kemungkinan tersebut. Seperti apa bentuk pencegahannya?
SCROLL TO CONTINUE WITH CONTENT
Jika Arjuna memiliki senjata pamungkas Pasopati yang hanya bisa digunakan satu kali untuk mengalahkan Karna, maka Cryptolocker memiliki senjata pamungkas yang tidak kalah sakti dan bisa digunakan berkali-kali untuk mengenkripsi data komputer korbannya. Senjata tersebut adalah enkripsi RSA 2048 bit.
Cryptolocker biasanya akan datang melalui email dalam bentuk lampiran yang terkompresi (ZIP/RAR) dimana di dalam file yang terkompresi berisi sebuah file dengan nama acak dan mempunyai ekstensi ganda, ia akan memanfaatkan icon PDF dengan ekstensi PDF.EXE.
Secara default, ekstensi file akan disembunyikan oleh Windows. Hal inilah yang dimanfaatkan oleh virus untuk mengelabui user sehingga file yang terlihat seolah-olah sebuah file PDF. (lihat gambar 1)
Β
Gambar 1: Setting default Windows untuk menyembunyikan ekstensi file.
Β
Gambar 2: Email yang dikirimkan oleh virus Cryptolocker.
Β
Gambar 3: Contoh file lampiran Cryptolocker yang dikirim melalui email.
File lampiran email tersebut akan mempunyai ciri-ciri:
β’ Nama file acak
β’ Mempunyai ekstensi ganda (PDF.EXE)
β’ Menggunakan icon PDF
β’ Ukuran file 100 KB (sesudah di extract) atau 70 KB (sebelum di-extract)
File Induk Cryptolocker
Jika berhasil menginfeksi komputer, ia akan membuat file induk dengan nama acak (contohnya: Mrrmkokislmfndtxl.exe) yang akan disimpan di direktori berikut dengan ukuran file sebesar 751 KB.
β’ Windows XP [C:Document and Settings%users%Local SettingsApplication Data]
β’ Windows Vista/7/8 [C:Users%Users%AppDataLocal]
Catatan: %Users% ini adalah user account yang digunakan untuk login Windows
Β
Gambar 4: File induk virus Cryptolocker (Trojan.GenericKD.1492946).
Aksi yang dilakukan oleh Criptolocker adalah mengenkripsi file yang ada di komputer lokal (komputer yang sudah terinfeksi) dengan ekstensi yang sudah ditentukan dengan menggunakan RSA-2048.
Selain enkripsi file yang berada di komputer yang sudah terinfeksi, Cryptolocker juga akan mengenkripsi file pada Drive/Folder yang di-mapping yang mempunyai akses full control.
Menurut pengetesan Laboratorium virus Vaksincom, Cryptolocker hanya mengenkripsi semua full sharing yang di-mapping dan tidak mengenkripsi Drive/Folder/File yang di-share tetapi tidak di-mapping.
Β
Gambar 5: Contoh Folder/Drive yang di-mapping.
Berikut beberapa ekstensi file yang akan dienkrip oleh CryptoLocker:
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.indd, *.cdr, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Jika data Anda sudah dienkrip oleh Cryptolocker, maka Anda tidak akan bisa membuka data tersebut dan hanya akan mendapatkan data yang sudah dienkrip oleh Cryptolocker.
Β
Gambar 6: Pesan error saat membuka file yang sudah dienkrip.
Β
Gambar 7: File yang sudah dienkrip oleh Cryptolocker.
Membayar Tebusan
Setiap kali Cryptolocker berhasil menjalankan aksinya mengenkripsi semua data komputer korbannya, ia akan memunculkan pesan 'Your Personal files are Encrypted' secara terus menerus. Hal ini secara tidak langsung menyebabkan komputer yang terinfeksi menjadi lambat.
Data yang dienkrip tidak dapat didekrip?
Kabar buruknya, pengamanan enkripsi RSA 2048 begitu bagus. Tak heran ia digunakan sebagai standar enkripsi https oleh penyedia jasa internet dunia seperti Google, Facebook dan Yahoo.
Jadi hampir mustahil untuk mendekrip file yang dienkrip tanpa private key yang digunakan untuk enkripsi data. Dan private key untuk dekrip file tersebut hanya di miliki oleh si pembuat virus, Anda hanya diberikan waktu selama 72 jam atau 3 hari sejak komputer pesan permintaan tebusan ditampilkan untuk menghubungi si mpunya virus guna mendapatkan kembali data Anda.
Namun Private Key tidak akan diberikan secara gratis, tetapi Anda harus membayar USD 300 yang dapat dikirim melalui MoneyPak atau Bitcoin. Jika melewati batas waktu yang telah ditentukan maka Private Key tersebut akan dihapus dan secara teknis data anda akan hilang selamanya.
Gambar 8: Informasi yang akan ditampilkan oleh Cryptolocker.
Berikut beberapa contoh metode pembayaran yang ditawarkan oleh Cryptolocker
Β
Gambar 9: Metode pembayaran dengan menggunakan MoneyPak.
Β
Gambar 10: Metode pembayaran dengan menggunakan bitcoin.
Untuk memastikan korbannya menyadari bahwa datanya dienkrip. Cryptolocker juga akan menampilkan pesan lain dengan cara mengganti Wallpaper Windows dengan file wallpaper yang disimpan di direktori berikut dengan nama file acak [contoh: C:Documents and SettingsadangDesktopMrrmkokislmfndtxl.jpg].
Β
Gambar 11: Pesan yang akan ditampilkan Cryptolocker pada background desktop komputer.
(ash/ash)
Tautan telah disalin