Berkenalan dengan Trojan yang Lebih Trojan dari Trojan

Apa dasarnya mengatakan kalau trojan generic memiliki keterkaitan tinggi dengan ransomware? Dalam kasus nyata, sebenarnya sangat sulit mendapatkan ransomware yang sedang menjalankan aksinya, kecuali ransomware merupakan worm lawas seperti Wannacry dan variannya yang sebenarnya digunakan untuk cyberwar oleh Rusia dan bukan ransomware sejati.

Hal ini disebabkan ransomware yang sifatnya 'lebih trojan dari trojan'. Apa maksudnya lebih trojan dari trojan? Seperti kita ketahui, penamaan trojan berasal dari cerita kuda troya dimana ia datang dalam keadaan seolah-olah tidak berbahaya dan secara sukarela dijalankan oleh korbannya.

Hal ini diperlukan karena apa yang dilakukan trojan merugikan korbannya seperti menjalankan program jahat guna mencuri password atau diam-diam menggunakan sumberdaya komputer (prosesor atau kartu grafis) untuk menambang bitcoin atau mata uang kripto.

Jadi kalau aksinya trojan tertangkap dan ketahuan, artinya trojan itu kurang sukses dan tentunya akan langsung dicekal dan dibasmi seperti trojan yang ditangkap oleh Webroot dalam statistik antivirus ini.

Risiko trojan tertangkap sangat tinggi karena aksinya memonitor password dan menambang Bitcoin membutuhkan proses yang berjalan secara terus menerus di komputer korban mudah terdeteksi.

Keuntungan yang didapatkan dari keylogger dan miner juga relatif rendah dan sifatnya jangka panjang. Beda kasusnya jika trojan berhasil menginstalkan ransomware, ia tidak perlu menjalankan proses terus menerus seperti miner maupun keylogger.

Ia hanya perlu satu kali sukses menginfeksikan malware (ransomware) yang tidak terdeteksi oleh program antivirus. Jika berhasil menginfeksi sistem dan menjalankan aksinya, maka ia akan bisa langsung 'cashout' memanen hasil kerjanya dengan meminta uang tebusan kepada korban yang datanya berhasil dienkripsi.

Untuk menjamin keberhasilan ransomware dengan menumpang trojan yang sudah bersusah payah menginfeksi sistem lalu tertangkap hanya karena menginjeksi dengan ransomware yang mudah terdeteksi antivirus, sama saja membuang peluang yang sudah ada di depan mata.

Maka, pembuat ransomware dalam menjalankan aksinya akan berusaha semaksimal mungkin menggunakan varian ransomware baru atau yang belum pernah terdeteksi oleh program antivirus.

Jika ransomware berhasil menjalankan aksinya mengenkripsi data, maka ransomware ini akan otomatis menghancurkan dirinya dan tidak dapat ditemukan jejaknya, kecuali data yang sudah dienkripsi dan pesan ransomware yang memang sengaja ditinggalkan oleh ransomware.

Hal ini dilakukan supaya ransomware yang sama dapat digunakan lagi untuk aksi ransomware di komputer lain. Karena itulah ransomware dapat dikatakan sebagai malware yang lebih trojan dari trojan.

Lalu, bagaimana melindungi diri dari malware seperti ini? Selain menjalankan backup dengan baik dan terlindung dari akses ransomware, Anda dapat mempertimbangkan solusi preventif melindungi sistem komputer dengan Vansom Protect yang dapat mengembalikan data hanya dengan beberapa kali klik sekalipun data Anda berhasil dienkripsi ransomware.

Selain gerombolan ransomware, malware yang banyak dihentikan oleh webroot adalah kelompok worm lawas: ramnit, sality dan mogoogwi dan malware seperti malware.mlpe, suspisious heuristic dan malware.generic.

Sedangkan kelompok kedua yang dapat dikategorikan sebagai malware millenial adalah PUA Potentially Unwanted Application, Adware dan Scareware.

Adapun insiden malware paruh pertama 2020 dapat dilihat pada tabel 1 di bawah ini:

Tabel 1, Insiden malware Indonesia paruh pertama 2020. Foto: Vaksincom

*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.