Laptop terkena ransomware jangan panik begini cara atasi virus ransomware
Laptop terkena ransomware jangan panik begini cara atasi virus ransomware
Hallo, selamat datang kembali di blog Seccodeid, balik lagi barang saya Bayu aji, di karenakan mas Dia putera sedang sibuk dengan pekerjaanya, saat ini saya yang akan mengisi konten di blog ini. Kali ini saya akan membahas sedikit tentang ransomware. Ya pasti kalian sudah mengerti apa itu ransomware, saya disini akan membahas ilmu yang sudah saya pelajari hehehe, saya juga masih belajar, saya belum disebut mahir. Yap masih ada orang - orang di luar sana yang lebih jago dan pengalaman pastinya, saya mempelajari dan menganalisis ini memerlukan waktu hingga 1 tahun lebih, yoi ilmu gak ada yang instan, maka dari itu saya akan membagikan apa yang saya pelajari tentang ransomware.
Seberapa bahaya sih ransomware itu ? ya mungkin beberapa kalian akan ada yang berpikiran pertanyaan seperti ini, menurut saya ransomware itu sangat berbahaya, ransomware tidak hanya mengunci data kalian melainkan ransomware menanam banyak malware di laptop yang terinfeksi, contohnya adware, trojan, dan lain sebagainya dan Anda harus membayar tebusan untuk membuka file yang terkunci. Saya pernah menangani kasus teman saya terkena ransomware, yap teman saya disini berasal dari negara Nepal, laptop dia terkena ransomware, pada saat pukul 9 atau 11 malam, teman saya bertanya ada yang aneh pada laptopnya, data tidak bisa dibuka dan muncul adware, gak hanya itu, bahkan laptopnya bertingkah aneh, sering membuka halaman atau website yang aneh, yap malware otomatis membuka edge, lalu redirect ke website yang aneh. Kemudian teman saya meminta bantuan untuk menghapus virus tersebut lalu saya diberikan akses masuk pada laptop teman saya (remote). Berikut penampakannya
Setelah saya analisa, dan bertanya penyebab terkena ransomware, ternyata teman saya menginstall dan mendownload game “pes atau fifa” lupa versi berapa, kemudian semua datanya terenkripsi, dan menamkan virus lain. Ransomware yang tertanam adalah .mkos
Selanjutnya saya menyarankan menghapus virus tersebut, awalnya virus tidak bisa dihapus. Kemudian saya menyarankan menggunakan iobit unlocker, yap iobit ini sangat ampuh untuk mengahpus aplikasi yang membandel, pasalnya virus tersebut sangat sulit untuk dihentikan, dari mencoba melalui task manager, windows registry. Akhirnya saya menyarankan langsung menghapusnya saja. Kemudian saya mencoba menganalisa readme.txt dan file yang terkunci melalui emisoft dan no more ransomware. Dan hasilnya nihil, ransomware ini merupakan varian baru dari Djvu ransomware, yang belum tersedia penawarnya alias decrypternya.
Langkah selanjutnya, saya menyarankan untuk membackup atau recoverynya. Tetapi teman saya memilih untuk mengisntall ulang, jika Anda mengisntall ulang resiko data akan hilang semua, pasalnya di dalam file tersebut terdapat file penting, alhasil teman saya langsung menginstall ulang dan kembali seperti normal.
Banyak terjadi yang terkana ransomware, dari install aplikasi bajakan dan lain- lain, tetapi kasus teman saya lagi berbeda dia terkena ransomware gara - gara crack password cpanel, wah kasus seperti ini saya baru dengar, eketensi ransomwarenya adalah .ssh kalau tidak salah, dan ransomware masih ada hingga sekarang, banyak varian baru yang keluar, kita sebagai user harus berhati - hati pada saat ingin menginstall sesuatu.
Langkah untuk menganalisa ransomware
Berikut saya jabarkan, ketika saya sedang mencoba ransomware, dari wanacry, petya, hingga sample ransowmare yang menginfeksi laptop teman saya, pada saat saya mencoba memerlukan banyak waktu dan tenaga, dari menganalisis, hingga mencoba mencari cara kerja dari program tersebut. Untuk wanacry menurut saya ini sulit, di karenakan developer membuat sistem dengan kompleks dan menggunakan celah keamanan pada Windows. Akibatnya saya tidak bisa menyelesaikan analisis secara total, disisi lain saya juga masih belajar, jadi saya memutuskan mencoba sample baru hehe. Berikut saya jabarkan apa yang Anda perlukan, dan dipelajari
Perisapkan waktu, ilmu dan mentor yang tepat
Persiapkan mentor dan ilmu yang matang, yap ika Anda ingin menganalisa sebuah virus atau program berbahaya. Saya sarankan cari mentor yang tepat untuk Anda, pasalnya developer memiliki logika dan kejeniusan masing - masing, ada yang membuat program sampai kompleks, dan ada juga yang hanya menjalakan beberapa fungsi saja, tetapi rata - rata developer pasti membuat program yang tidak simple dan mudah dibaca oleh orang lain, maka dari itu persiapkan mentor dan ilmu yang matang.
Persiapkan lab untuk uji coba
Yap, saya menguji ransowmare dengan berbagai tools, seperti mesin virtual, tools Disassembler contohnya ghidra, ida pro, Api monitor, sample program dan sebaginya. Saya menggunakan tools tersebut untuk menganalisa, ada beberapa yang harus kalian ketahui, berikut saya jabarkan sedikit, jika saya ada salah mohon maaf.
1. Pahami cara kerja sebuah program, Anda minimal pernah mencoba membuat program dari simple maupun kompleks, yap pasalnya ini sangat berguna untuk Anda pada saat ingin melakukan reverse engineer. Anda minimal tau cara kerja program yang Anda buat lalu analisa lah sendiri, dari debuging, dan coba anda utak atik program yang Anda buat.
2. Pahami bahasa pemograman, jika Anda ingin mencoba minimal tahu bahasa pemograman yang kalian kuasai contoh c, c++, java, rubby, asm ataupun php dan INI file. Jika sudah memahami bahasa pemograman dan mencoba membuat program niscaya akan memiliki sebuah gambaran dalam menganalisa program.
3. Pahami tentang jaringan, yap jaringan itu perlu. Setiap aplikasi pasti memiliki jaringan port yang digunakan semisal xampp, browser,vpn pasti ada port yang berjalan di balik sebuah aplikasi, jadi disni kalian minimal tahu tentang OSI layer dan pot, UDP, TCP, Kill switch dan lainya.
4. Pahami tentang algoritma, ada banyak algortima dari mudah hingga sulit, semisal Anda ingin mencoba bisa mulai dengan algoritma dasar dulu, seperti input uotput pada c, c# dan bahasa pemograman lain, ada banyak algoritma yang sering digunakan semisal algoritma file handling, sorting, looping, selection, dan lainya. Jika Anda sudah mengetahui algortma, Anda bisa mengukur algoritma yang telah dibuat, contohnya lowcost, portabillity, dan expandable
5. Pantang menyerah, yap langkah terakhir adalah pantang menyerah, terus lah belajar dari mulai sumber terbuka ataupun berbayar, jika Anda memiliki teman yang sangat mahir saya sarankan berteman baiklah dengan mereka, itu akan bermanfaat bagi kalian, kalian bisa langsung bertanya hingga belajar bareng dengan orang tersebut, tidak usah malu, mau kamu di bully, di kacangin, teruslah belajar, jangan hiraukan omongan orang, dengarkanlah masukan masukan baik lalu simpanlah di otak.
Sebenarnya masih ada banyak lagi yang harus Anda pelajari, saya disni memberikan sedikir dan pemahaman yang saya pelajari, jika ada kekurangan atau kesalahan mohon maaf, jika Anda ingin menambahkan bisa tulis komentar di bawah.
Cara kerja ransomware
Ransomware akan mengucni data Anda apa saja, semuanya bisa terkunci seperti .exe, .jpg, .mp3 dan lain - lain, ransomware ini tidak mengenal ukuran file dan ektensi file, semua akan di libas habis dengan ransomware, untuk itu Anda harus berhati - hati pada saat ingin mencobanya, pastikan Anda coba melalui mesin virtual, jangan sampai mesin asli Anda terkena virus ini.
Okok, saya akan menjelaskan beberapa yang saya lakukan pada saat melakukan analisis sebuah ransomware, simak berikut ini :
Seperti yang saya katakan di atas. Persipakan lab untuk uji coba terlebih dahulu, untuk cara menyettingnya lakukan cara berikut ini.
l Perispkan OS yang akan digunakan, saya menggunkan windows 7 vista, mengapa saya menggunakan ini ?, di karenakan saya tidak memiliki ISO windows 10. Sehingga saya putuskan menggunakan windows vista.
l Setelah itu, kalian bisa install melalui mesin virtual kaliam, semisal virtual box, setting dengan penyimpnanan yang besar, di karenakan ada beberapa tools yang harus kalian install disana, seperti network analysis, ida pro, ghidra dan lainya.
l Kemudian, Anda siapkan sample yang akan di uji, setelah itu jangan Anda langsung running programmnya, nyalakan backup terlebih dahulu, bisa menggunakan pihak ke 3 seperti EaseUS, atapun menggunakan one drive dari Windows.
l Matikan internet, jika Anda menggunakan kabel LAN, saya sarankan matikan saja, kita tidak tahu program yang akan dianalisis seperti apa, takutnya bisa menularkan ke yang lain, alangkah baiknya kita cegah terlebih dahulu.
l Setelah itu, jangan lupa lihat di bagian Windows regisrty. Ya Anda bisa lihat di bagian Windows regisrty, bandingkan sebelum dan sesudah Anda menjalankan program, biasanya sebuah virus nanti bakal tercatat atau masuk ke dalam Windows regisrty, nah itu nanti akan berguna saat Anda analisis nantinya, untuk apa sih Windows regisrty itu ? fungsinya adalah untuk menyimpan pengaturan pada sistem maupun hardware dan software, jika Anda tidak mengetahui Windows registry jangan utak atik bagian yang lain ya, cukup lihat dan analisa setelah program tersebut Anda berjalan.
l Selanjutnya, Anda bisa menyalakan terlebih dahulu network analysis, dan task manager, mengapa perlu ? nantinya disini Anda akan melihat aktivitas aplikasi yang sedang berjalan. Biasanya akan tertangkap aktivitas tersebut melalui network anlysis dan task manager.
l Yap setelah itu Anda running programnya.
Ransomware memiliki jenis - jenis tertentu, berikut adalah beberapa tipe ransomware yang saya ketahui :
l Non-encrypting ransomware or lock screens
Tidak mengenkripsi data atau file, tetapi membatasi akses pada sebuah file.
l Ransomware encrypts Master Boot
Ransomware yang mengunci boot sehingga mencegah komputer masuk ke dalam OS
jadi komputer tidak dapat masuk di dalam sistem operasi, di karenakan sistem pada MBR dan NTFS dikunci langsung oleh ransomware.
l Leakware or extortionware
Ransowmare yang mengancam korban atau target, dan mencuri data bahkan merusak data korban, jika tebusan tidak dibayar maka developer virus tersebut akan mengancam yang lebih berbahaya lagi.
l Mobile Device Ransomware
Ransowmare yang terdapat di dalam mobile atau ponsel.
Ransoware Flow
Jika saya gambarkan seperti ini, ya ini adalah menurut pandangan saya dan gambaran saya pada saat menganalisis ransomware
1. Tahap awalan
Setelah dikirim melalui email, email phishing, aplikasi bajakan atau yang tertanam ransomware, atau bisa menggunakan metode lain, ransomware nanti akan menginstal sendiri pada perangkat jaringan apa pun yang dapat diaksesnya. Maka dari itu jika ingin mencoba matikan jaringan terlebih dahulu, terlebih lagi Anda berada dalam satu jaringan yang digunakan banyak orang. Dan sebuah program pasti berjalan dengan port, silahkan Anda bisa menganilisis dan temukan port yang berjalan pada program tersebut.
2. Tahap Secure Key Exchange (KEY pada sebuag ransomware)
Ransomware menyambungkan ke server kemudian dioperasikan atau di kendalikan oleh developer virus tersebut. Tujuanya untuk menghasilkan kunci kriptografi (key) yang akan digunakan pada sistem. Biasanya menggunakan serial ID pada product Anda, saya mencoba dan hasilnya seperti ini.
Saya mencoba mengubungkan API di dalam project IOT saya, kemudian API merespon akan mengingirmkan ke penyimpanan root yang sudah dibuat, semsial saya menyimapan di dalam path results/lolicon/
Hasil seperti ini, Anda bisa mencoba dengan cara buka CMD kemudian ketik “systeminfo” makan akan keluar hasil seperti di atas, ya data tersebut yang saya kirimkan menggunakan API lalu masuj ke sistem root path saya, kenapa memerlukan seperti ini ? Supaya bisa tahu yang target yang terkena menggunakan device apa dan serial apa hehe.
3. Tahap Enkripsi atau mengunci file
Ransomware mulai mengenkripsi file apa pun yang dapat ditemukannya di mesin lokal dan maupun jaringan. Biasanya pada saat ransomware berjalan, tidak dapat dihentikan lebih parahnya lagi tidak terdeteksi antivirus dan berjalan di background. Kok bisa tidak terdeteksi, ya developer pasti merubah sebuah signature pada programmnya sehingga, antivirus tidak dapat bisa mendeteksinya. Banyak cara supaya program tidak dapat diterdeteksi oleh antivirus, Anda bisa merubah signature tersebut dengan berbagai cara, jadi siganture pada program Anda tidak masuk ke dalam database si antivirusnya. Dan bisa mencoba memanfaatkan celah dari si antivirus atapun sistem operasinya. Anda bisa melihat di dalam Windows Registry jika terdapat program aneh yang tersimpan disana kemungkinan besar itu adalah file dari virusnya.
4. Tahan tebusan atau menebus
Dengan enkripsi selesai, ransomware menampilkan instruksi tata cara pembayaran tebusan, mengancam perusakan data jika pembayaran tidak dilakukan. Semisal data tidak dapat bisa di kembalikan.
Contoh
5 Tahap dekripsi
Target dapat membayar tebusan dan berharap benar-benar mendekripsi file. Sayangnya, sering kali tidak berhasil data Anda menjadi rusak bahkan tidak bisa di dekrip. Pasalnya mendekripsi sebuah file hal yang sulit, jika bisa kembali paling ada beberapa yang datanya rusak atau data menjadi corrupt, untuk itu langkah terbaiknya adalah recover data Anda, dan menginstall ulang.
Ya disni saya tidak mengajari membuat ransomware, tetapi memahami alur dari sebuah ransomware, hanya untuk pembelajaran saja, dan jika Anda memiliki ilmu yang sangat hebat, alangkah baiknya jangan dibuat untuk kejahatan, gunakan saja untuk evaluasi kita sendiri heheh.
Cara mencegah dan mengembalikan data pada ransomware
1. Jangan pernah mendownload atau menginstall yang situs tidak dipercaya
Jika Anda, gemar mencari game ata aplikasi bajakan, saran saya mending urungkan niatnya, cari yang berbayar ataupun menggunakan trial. Jika darurat, carilah situs yang sudah dipercaya
2. Jangan klik link atau attachments pada email
Anda mendaptkan sebuah email, yang berisi file, ataupun link. Saran saya jika email tersebut mencurigakan abaikan saja, kalian bisa melihat isi header emailnya, di dalam gmail sudah ada fitur yang bisa Anda gunakan
Anda bisa menggunakan whois dan nslookup untuk melihat detail tentang website, seperti DNS, IP dan lainya. Jadi jangan langsung percaya pada sebuah email, analisis dulu.
3. Install antivirus
Anda bisa menginstall antivirus, bebas apa saja, kalau saya cukup menggunakan Windows Defender saja hehe.
4. Rajin backup tiap hari
Gunakanlah fitur one drive yang ada di Windows, atau bisa menggunakan pihak ke 3 seperti EaseUs, bisa juga menggunakan hardisk, backup file penting Anda. Jika terjadi sesuatu masih ada harapan heheh.
5. Selalu waspada dengan USB
USB dapat menularkan virus, untuk itu kurangilah penggunaan USB. Jika memiliki USB langkah aman yang bisa Anda lakukan adalah, jangan pinjamkan USB kepada orang lain, gunakan untuk pribadi saja. Jika Anda bisa membuat torrent box, saran saya menggunakan torent atau cloud, di rumah saya sudah jarang melakukan tranfer file dengan USB, saya melakukan tranfer files pada Rasbian, jadi Rasbian tidak memerlukan USB, hanya menggunakan jaringan saja file Anda dapat terkirim.
Tips untuk Anda jika sudah terkena Ransomware
Jika sudah terkena ransomware, pasti kalian akan panik, ya saya jika di posisi itu juga akan merasakan hal yang sama, untuk itu saya memberikan tips jika Anda sudah terkena ransomware
l Jangan buru - buru install ulang, cobalah untuk merecovery data Anda dahulu, jika Anda memiliki backup selamat, masih beruntung banyak penyedia penyimpanan cloud gratis seperti droptbox, mega, google drive, one drive, dan lain lain. Manfaatkan itu untuk membackup data Anda
l Cobalah dengan EaseUs, Anda bisa menggunakan EaseUs untuk mercovery, tetapi hasil dari recovery akan menjadi acak tidak urut, dan kemungkinan data Anda selamat, hanya beberapa yang mungkin tidak bisa di recovery
l Menggunakan safemode pada windows, yap Anda bisa mencoba masuk ke dalam boot safe mode, bisa saja data Anda akan selamat
Kesimpulan
- Ransomware
- Pencegahan Ransomware
- Cara kerja Ransomware
- Wanacry
- Decrtpter Ransomware
- Apa itu Ransomware
- Laptop terkena Ransomware
Bro W pernah kena ransom tapi pas gw hapus ektensi ransomnya file nya kebuka gak kekunci tp file yg lain ada yg gk bisa kebuka itu celah virus nya bkn sh
Itu terjadi karena tidak ada file siganture, jadi si ransomware bakal mambaca signature, kemudian dikuncinya, setiap file ada yang memiliki siganture ada yang tidak. setahu saya file yang tidak memiliki siganature itu. Contoh html, css tidak ada file siganture.