Ransomware Si Penyandera Data Berharga Anda

Kolom Telematika

Ransomware Si Penyandera Data Berharga Anda

- detikInet
Selasa, 19 Mei 2015 13:12 WIB
Ilustrasi (gettyimages)
Jakarta -

Ransomware adalah salah satu jenis malware/program jahat yang ingin mendapatkan keuntungan finansial dengan menyandera data dari komputer korbannya. Adapun caranya menyandera data korban adalah dengan melakukan enkripsi data penting seperti MS Office, foto, database, AutoCad, Adobe, lagu dan film.

Menurut pantauan Vaksincom sampai saat ini sudah ratusan jenis (ekstensi) file yang diincar oleh ransomware. Jika data Anda dienkrip (acak) oleh ransomware, maka data tersebut diacak sedemikian rupa dengan kumpulan karakter pengacak unik (key) menggunakan metode kriptografi. Kemudian data tersebut hanya bisa dikembalikan ke asalnya (dekripsi) dengan pasangan kunci dekripsi.

Jadi data itu secara fisik tetap ada di komputer Anda namun telah dipermak sedemikian rupa sehingga tidak bisa dibuka tanpa proses dekripsi.

Enkripsi, Praktek Simpel Kriptografi

Untuk mendapat gambaran kerumitan enkripsi yang dilakukan, Anda bisa membayangkan proses dekripsi yang dilakukan oleh pasukan sekutu pada Perang Dunia II seperti dalam film The Imitation Game.

Dalam PD II, pasukan berkomunikasi melalui gelombang radio dan semua komunikasi tersebut dipancarkan ke udara dimana pasukan musuh juga bisa menerima komunikasi tersebut. Bisa dibayangkan bahayanya jika isi komunikasi tersebut berhasil diketahui lawan, hal ini bisa menentukan kemenangan dalam pertempuran karena strategi perang dan arah gerakan pasukan musuh bisa diketahui.

Karena itulah pihak yang berperang mengacak informasi (enkripsi) yang dikirimkan sedemikian rupa sehingga jika berhasil disadap sekalipun informasi tersebut tidak akan bisa berarti. Alat yang digunakan oleh Jerman dalam mengacak komunikasinya sejak PD I bernama Enigma yang ditemukan pada tahun 1920, membutuhkan waktu 12 tahun dimana pada tahun 1932, sejumlah ahli (kriptologis) berhasil memecahkan enkripsi Enigma versi awal yang kemudian disempurnakan kembali oleh Jerman dan digunakan pada PD II.

Dibandingkan dengan teknologi enkripsi hari ini, teknologi Enigma bisa dikatakan primitif. Sebagai gambaran, jika Anda mengenkrip 'Hello A' dan 'Hello B' dengan Enigma hasilnya kira-kira 'Tjvvw L' dan 'Tjvvw C'. Sedangkan jika Anda mengenkrip dengan enkripsi hari ini (RSA) hasilnya adalah “idkrn7shd” dan “62hmcpgue” http://www.askamathematician.com/2014/12/q-how-good-is-the-enigma-code-system-compared-to-todays-publicly-available-cryptography-systems/.

Lebih parah lagi jika tingkat kerumitan enkripsi dinaikkan, enkripsi kata 'hallo' dienkripsi dengan password 'vaksin' dengan metode enkripsi AES 128 bit hasilnya adalah:

7c36rtKL7zDiF0OGTvp+6Y0MRMAi2jJAtm74wI7VwBoBM5e+RURhNAPzb0/lOo6CHRUh5wM9cc5zzhkDgX53gtQBzhBMbiUHwpa30BzGRig=

Anda bisa mencoba hal tersebut di https://www.infoencrypt.com/

Jika Anda ingin mengetahui lebih jauh, kunjungi https://www.infoencrypt.com dan masukkan hasil enkripsi ini:

28kl+3nb29CtCIoOAGZVKKHrPoMp9DTO3XzKjw/suiTSIn+VggM0tjC+HXctGS6CLDY7AWP7SwjH7CEPtrEb0Xz5HC8McDdxbpvII5Tn4mZqzI2XkYC5JAqn0HNyrkDTOWBxfJDi1e4FTOVsnskjoRwT0qeQ0eyj6/fbuB79L/o=

Lalu masukkan password 'vaksin' (tanpa tanda petik), lalu klik tombol [Decrypt] (lihat gambar 1). Lihat apa isi pesan yang muncul.

 
Gambar 1: Proses dekripsi dengan AES 128 bit

Apa yang Dilakukan Ransomware?

Jika Anda melakukan tutorial di atas, sekarang bisa mengetahui bagaimana cara kerja ransomware. Kata 'hello' adalah file Anda sebelum dienkrip. Lalu ransomware akan mengenkrip data Anda (kata 'hello') dengan password 'vaksin' dan menghasilkan data baru (string di bawah ini):

7c36rtKL7zDiF0OGTvp+6Y0MRMAi2jJAtm74wI7VwBoBM5e+RURhNAPzb0/lOo6CHRUh5wM9cc5zzhkDgX53gtQBzhBMbiUHwpa30BzGRig=

Data yang sudah dienkrip inilah yang ditinggalkan pada komputer Anda. Data ini adalah data asli milik Anda namun tidak bisa diakses sebelum didekripsi.

Satu-satunya cara untuk mengembalikan kata 'hello' ini adalah Anda harus mendekrip string di atas dengan password 'vaksin'. Sebagai catatan, password 'vaksin' hanya contoh dan jangan dicoba untuk dekripsi file Anda yang dienkripsi oleh ransomware. Dalam kasus ransomware, password/kunci dekripsi biasanya sangat rumit dan panjang dan disimpan oleh pembuat malware sambil menunggu Anda membayar tebusan.

Adapun jenis data yang diincar oleh ransomware sangat banyak, dari data penting laporan keuangan, skripsi, database perusahaan, gambar, foto, hasil desain, presentasi sampai film. Intinya pembuat ransomware ingin menyandera data berharga supaya korbannya bersedia membayar untuk mengembalikan datanya.

Pelopor ransomware yang sukses dan sangat terkenal Cryptolocker menjalankan aksinya pada September 2013 dan disebarkan memanfaatkan jaringan Zeus bot Net. Karena tingginya korban hal ini menarik perhatian FBI dan pada pertengahan 2014, server penampung password untuk korban-korban Cryptolocker berhasil dideteksi dan diambil alih. Lalu kunci dekripsi dibagikan secara gratis dan dengan bantuan Fireeye dan Fox IT bisa diakses dari www.decryptolocker.com.

Jika Anda menjadi korban Cryptolocker, silakan hubungi vendor antivirus Anda untuk mendapatkan bantuan dekripsi file Anda. Namun jika terinfeksi sejak awal 2015, kemungkinan besar bukan Cryptolocker yang menginfeksi komputer anda namun ransomware lain. Menurut catatan Vaksincom, ransomware pasca Cryptolocker yang banyak memakan korban sampai hari ini adalah CTBLocker (Curve Tor Bitcoin) locker, Cryptowall dan Teslacrypt.

*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.



(Ardhi Suryadhi/Ardhi Suryadhi)