Klikblogmu- Jreng-jreng....begitulah tampilan sebuah komputer yang terinfeksi virus CTB-LOCKER, sebuah varian virus yang melakukan enkripsi terhadap data....dan kemudian minta tebusannya....mirip film RANSOME yach....
Yuk ah kita mengenal lebih jauh makhluk yang satu ini.....untuk lebih waspada...
APAKAH CTB-LOCKER ITU ?
CTB Locker (Curve-Tor-Bitcoin
Locker) atau lebih dikenal sebagai Critoni adalah sebuah infeksi Ransomware
yang ditemukan pada pertengahan Juli 2014. Target serangan adalah semua pemakai
Windows termasuk Windows XP, Windows Vista, Windows 7 dan Windows 8. Malware tersebut merupakan
pengembangan berbeda dari kelompok virus Cryptolocker.
Menggunakan teknologi
baru seperti Elliptic Curve Cryptography (ECC), Malware CTB-Locker berkomunikasi
dengan Command and Control (C & C) Server melalui TOR (teknik
komunikasi ini juga digunakan dalam penyebaran botnet seperti conficker).
Sebagai Ransomware (software yang bermodus ekonomi meminta uang tebusan),
Malware CTB-Locker menawarkan solusi atau kit yang dijual secara online dengan
harga hingga USD3,000 USD lengkap dengan fasilitas Technical Support agar kit
tersebut dapat berjalan dengan baik.
BAGAIMANA MODUS PENYERANGAN YANG
DILAKUKAN?
Serangan Ransomware menyusup via
email berisi weblink maupun attachment bermuatan Trojan, ESET mengenali
attachment trojan itu sebagai Win32/TrojanDownloader.Elenoocka.A.trojan. Spam
email dengan subyek serius, menggoda atau menantang akan memandu penerima email
masuk ke perangkap hanya dengan mengklik weblink atau membuka attachment.
Selanjutnya Win32/TrojanDownloader.Elenoocka.A yang terhubung ke remote URL
akan men-download varian lainnya yaitu Win32/FileCoder.DA, dikenal sebagai
CTB-Locker. Keluarga Ransomware ini mengenkripsi semua file sistem dengan cara
yang sama seperti yang dilakukan CryptoLocker. Namun jika file tersebut tidak
terdownload maka attachment tersebut akan bertindak sebagai virus atau malware
pengganti filecoder dalam melakukan enkripsi data.
Contoh attachment dengan nama file
‘invoice’ yang mungkin menggoda user di Bagian Keuangan perusahaan dan diklik:
Setelah melakukan enkripsi terhadap
seluruh data maka key yang dibuat untuk enkripsi dan dekripsi tersebut akan
dikirim lagi lewat internet sehingga data tidak dapat didekripsi. Setelah
selesai melakukan enkripsi virus tersebut akan membuat pengumuman di komputer
berupa screenlock yang menyatakan bahwa data yang ada di komputer tersebut
telah dienkripsi dan memberikan panduan kepada korban cara melakukan pembayaran
untuk mendapatkan key guna mendekripsi file. Tentu saja kami tidak menyarankan untuk
tidak membayar, karena tidak ada jaminan setelah membayar file akan selamat
(harap diingat ini adalah bentuk kejahatan bermotif uang)
APA KERUSAKAN YANG DIHASILKAN?
Ketika file attachment diklik 2x
maka virus akan otomatis melakukan enkripsi ke seluruh data yang ada di dalam
komputer user, termasuk data di dalam mapping folder. Ciri-ciri data yang telah
terenkripsi adalah tambahan random extension dari extension sebenarnya (contoh
random extension tersebut: Air tambah naik.JPG.gibgkjd). File yang sudah
dienkripsi tidak dapat dibuka kembali. Fatal akibatnya jika file berisi data
penting.
BAGAIMANA PENCEGAHANNYA ?
Sebagai user:
1. Backup secara berkala seluruh folder berisi file data penting (min 1 minggu sekali)
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal
4. Tidak mengklik weblink atau attachment yang yang tidak dikenal atau mencurigakan
5. Pastikan Software Endpoint Antivirus/Security sudah terupdate.
1. Backup secara berkala seluruh folder berisi file data penting (min 1 minggu sekali)
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal
4. Tidak mengklik weblink atau attachment yang yang tidak dikenal atau mencurigakan
5. Pastikan Software Endpoint Antivirus/Security sudah terupdate.
Sebagai admin IT:
– Jika saat ini seluruh komputer/device yang terkoneksi dengan jaringan sudah terinstal Endpoint Antivirus/ Endpoint Security:
– Jika saat ini seluruh komputer/device yang terkoneksi dengan jaringan sudah terinstal Endpoint Antivirus/ Endpoint Security:
1. Pastikan Software Endpoint
Antivirus/Security sudah terupdate di seluruh komputer/device
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Backup secara berkala seluruh folder berisi file data penting
4. Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal
5. Lakukan scan secara berkala melalui In Depth Scan (Kalau yang memakai server bisa push scan melalui Remote Administrator-)
6. Pastikan tidak ada komputer asing yang tidak terproteksi di dalam jaringan
7. Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email)
8. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Backup secara berkala seluruh folder berisi file data penting
4. Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal
5. Lakukan scan secara berkala melalui In Depth Scan (Kalau yang memakai server bisa push scan melalui Remote Administrator-)
6. Pastikan tidak ada komputer asing yang tidak terproteksi di dalam jaringan
7. Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email)
8. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP
– Jika ada komputer di jarinagn anda yang terindikasi terserang Ransomware, beberapa yang harus dilakukan :
1. Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan
2. Lakukan In Depth Scan di komputer tersebut
3. Segera proteksi komputer/device agar aman menyeluruh
So.... yang harus di ingat tentulah Backup....Backup...Backup....
agar kalau terinfeksi...minimal bisa kita restore ulang checkpoint yang belum terinfeksi...
Semoga Bermanfaat
