LAGI-LAGI RANSOMWARE, SEKARANG TESLACRYPT!
MODUS SERANGAN
- Menyusup via email berisi weblink maupun attachment bermuatan Trojan, ESET mengenali attachment trojan itu sebagai Win32/TrojanDownloader.Elenoocka.A.trojan.
- Spam email yang bertuliskan subyek yang serius, menggoda atau menantang. Ini akan memandu penerima email masuk ke perangkap hanya dengan mengklik weblink atau membuka attachment. Selanjutnya akan terhubung ke remote URL akan mendownload varian lainnya yaitu Win32/FileCoder.EM, dikenal sebagai Teslacrypt.
DETEKSI ESET
Ransomware Teslacrypt dikenali sejak 4 Februari 2015 di database 11123 pada saat malware tersebut muncul pertama kali hingga varian terakhir dengan ekstensi .vvv yang telah dideteksi pada update 12708 tanggal 11 Desember 2015.
Keluarga dari Ransomware ini mengenkripsi semua file sistem dengan cara yang sama seperti yang dilakukan oleh CryptoLocker. Namun jika file tersebut tidak terdownload maka attachment tersebut akan bertindak sebagai virus atau malware pengganti filecoder dalam melakukan enkripsi data.
Setelah melakukan enkripsi terhadap seluruh data maka key yang dibuat untuk enkripsi dan dekripsi tersebut akan dikirim lagi lewat internet sehingga data tidak dapat didekripsi. Setelah selesai melakukan enkripsi virus tersebut akan membuat pengumuman di komputer berupa screenlock yang menyatakan bahwa data yang ada di komputer tersebut telah dienkripsi dan memberikan panduan kepada korban cara melakukan pembayaran untuk mendapatkan key guna mendekripsi file. ESET menyarankan untuk tidak membayar, karena tidak ada jaminan setelah membayar file akan selamat (harap diingat ini adalah bentuk kejahatan bermotif ekonomi).
TINGKAT KERUSAKAN YANG DIHASILKAN
FATAL!!
Ketika file pada attachment diklik 2x maka virus akan secara otomatis melakukan enkripsi ke seluruh data yang ada di dalam komputer user yang diserang, termasuk data yang ada di dalam mapping folder. Ciri-ciri data yang telah terenkripsi adalah tambahan random extension dari extension sebenarnya (contoh random extension tersebut: foto nikah.JPG.vvv). File yang sudah dienkripsi tidak akan dapat dibuka kembali. Fatal akibatnya jika file berisi data-data penting.
BERUKIT CARA PENCEGAHANNYA
Sebagai user:
1. Backup secara berkala seluruh folder berisi file data-data penting Anda
2. Pastikan Windows yang Anda gunakan selalu terupdate terhadap patch atau hotfix dari windows
3. Buatkan pengaturan konfigurasi yang optimal untuk bisa mendapatkan perlindungan yang maksimal
4. Tidak sembarang mengklik weblink atau attachment yang tidak dikenal atau mencurigakan
5. Pastikan Antivirus Anda terupdate secara berkal (AV yang sudah mengenali variant virus ini adalah Software ESET), AV yang lain mungkin akan segera menyusul.
Sebagai admin IT:
Jika saat ini SELURUH komputer/device yang terkoneksi dengan jaringan sudah terinstall Antivirus terbaik yang biasanya versi Business Edition:
1. Pastikan Antivirus Anda sudah terupdate di seluruh komputer/device
2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari Windows
3. Backup secara berkala seluruh folder berisi file data-data penting
4. Pastikan seluruh komputer/device memiliki konfigurasi optimal untuk mendapatkan proteksi yang maksimal
5. Lakukan scan secara berkala melalui
6. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan komputer Anda.
7. Gunakan seperti ESET Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email)
8. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP
Jika TIDAK SEMUA komputer/device memakai Antivirus dan komputer yang TIDAK TERINSTAL Antivirus terserang Ransomware:
1. Pisahkan komputer/device yang terindikasi terkena serangan agar tidak melakukan broadcast ke jaringan
2. Lakukan In Depth Scan di komputer tersebut
3. Segera proteksi komputer/device dengan Antivirus agar aman secara menyeluruh
Sumber: http://www.bacapikirshare.org/index.php/lagi-lagi-ransomware-sekarang-teslacrypt/
