.webp)
Tesla memiliki kemampuan eidetic memory, dimana ia mampu dengan tepat mengingat gambar dan objek, yang membuatnya dengan akurat memvisualisasikan objek 3D yang rumit sehingga memungkinkan ia membangun suatu prototipe hanya dengan beberapa gambar awal.
Tidak heran kalau namanya digunakan oleh Elon Musk, generasi baru miliuner yang kini menjadi idola anak muda yang memproduksi mobil listrik Tesla Model S yang canggih dan populer di Amerika. Namun rupanya, selain menjadi inspirasi Elon Musk, nama Tesla juga digunakan oleh pembuat ransomware yang menamakan dirinya Teslacrypt. (lihat gambar 1)
SCROLL TO CONTINUE WITH CONTENT
Mengenkripsi Data Online Game
Bisa dibilang ini adalah sisi gelap 'Tesla'. Ia adalah program jahat yang bergerilya di dunia maya. Berbeda dengan ransomware lain yang umumnya mengincar data penting konvensional seperti MS Office, Adobe, Database, Gambar film dan koleksi lagu. TeslaCrypt mengenkripsi 185 ekstensi dan sekitar 50 ekstensi atau 27% di antaranya berhubungan dengan file game. Menurut Bromium Labs, daftar game yang diincar oleh TeslaCrypt adalah:
Game Single User:
• Call of Duty
• Star Craft 2
• Diablo
• Fallout 3
• Minecraft
• Half-Life 2
• Dragon Age: Origins
• The Elder Scrolls dan file Skyrim
• Star Wars: The Knights Of The Old Republic
• WarCraft 3
• F.E.A.R
• Saint Rows 2
• Metro 2033
• Assassin’s Creed
• S.T.A.L.K.E.R.
• Resident Evil 4
• Bioshock 2
Game Online :
• World of Warcraft
• Day Z
• League of Legends
• World of Tanks
• Metin2
File lain yang berhubungan dengan game:
• EA Sports
• Valve
• Bethesda
• Steam
• RPG Maker
• Unity3D
• Unreal Engine
Kemungkinan besar pembuat malware ini mengincar gamer dan alasan mengincar file game adalah karena file-file penting lain mungkin sudah di-backup dengan baik oleh para pengguna komputer dan sampai saat ini kelihatannya file-file yang berhubungan dengan game jarang di-backup sehingga jika berhasil dienkripsi oleh Teslacrypt korbannya akan bersedia membayar ransom untuk mengembalikan karakter gamenya yang dienkripsi.
Menggunakan Klip Flash dan Angler Exploit
Dalam menyebarkan dirinya, TeslaCrypt menggunakan sarana penyebaran email dan website. TeslaCrypt menggunakan teknik yang tidak konvensional dimana biasanya malware menggunakan teknik iframe atau iframe dinamis yang dihasilkan oleh JavaScrupt. Namun TeslaCrypt menggunakan klip Flash yang disembunyikan (invisible).
Guna menjalankan aksinya ini, Teslacrypt akan melakukan eksploitasi pada celah keamanan dimana salah satu celah keamanan populer dieksploitasi adalah Adobe Flash Player CVE-2015-0311. Guna mengeksploitasi korbannya, Teslacrypt menggunakan Angler Exploit Kit yang dalam aksinya akan berhasil menginfeksi korbannya sekalipun sudah terproteksi dengan program antivirus yang terupdate karena memang yang diserang adalah celah keamanan dan eksploitasi celah keamanan bisa membypass perlindungan antivirus.
Jika program antivirus yang terpasang memiliki teknologi Anti Exploit seperti G Data Antivirus, maka eksploitasi celah keamanan Angler Exploit kit ini tidak akan berjalan karena akan langsung dihentikan.
Menghapus Shadow Copy dan Anti Tempering
Seperti ransomware generasi terakhir yang beredar, Teslacrypt memiliki payload menghapus semua Volume Shadow Copy Windows dengan menjalankan perintah “vsadmin.exe delete shadows /all /quiet”. Tujuannya supaya korban tidak bisa melakukan restore dengan Shadow copy. Selain itu, TeslaCrypt juga melengkapi dirinya dengan kemampuan Anti-Tempering dimana setiap 200 mili detik ia akan mencari program-program dengan nama:
• taskmgr
• procexp
• regedit
• msconfig
• cmd.exe
Dan jika menemukan program dengan nama tersebut akan dihentikan dengan perintah “Terminate Process”. Satu fakta menarik yang diketahui adalah TeslaCrypt juga bermulut besar (berbohong), dimana ia mengklaim kalau data korbannya dienkripsi dengan enkripsi RSA-2048 asimetris. Namun kenyataannya enkripsi yang digunakan adalah enkripsi simetris.
Hal ini memungkinkan untuk beberapa korban Teslacrypt versi awal dapat diselamatkan datanya tanpa harus membayar ranwom karena rupanya key untuk dekripsi masih tersimpan di komputer korbannya.
Adalah Talos Group yang berbaik hati menyediakan fasilitas untuk dekripsi korban TeslaCrypt. Namun dalam waktu tidak lama, pembuat Teslacrypt memperbaiki kesalahannya sehingga key dekripsi tidak tersimpan di komputer korbannya.
Adapun varian korban TeslaCrypt yang masih bisa didekripai adalah yang hasil enkripsinya memiliki ekstensi .ECC (tidak 100 %). Sedangkan jika hasil enkripsinya memiliki ekstensi .EXX dan .EZZ merupakan varian Teslacrypt yang sudah disempurnakan dan tidak bisa didekripsi lagi.
(ash/ash)
