Ransomware telah ada selama beberapa tahun namun telah menjadi sosok malware yang menghantui semua orang – mulai dari bisnis besar, institusi keuangan hingga rumah sakit dan perorangan di seluruh dunia – dengan penjahat cyber yang bisa menghasilkan jutaan dolar. Dan kali ini dilaporkan bahwa dua ransomware berbahaya kembali meluncurkan serangannya.
Beberapa bulan yang lalu, kami melihat adanya serangan ransomware yang menakutkan, termasuk WannaCry, Petya dan LeakerLocker, yang membuat kekacauan di seluruh dunia dengan mematikan rumah sakit, manufaktur kendaraan bermotor, telekomunikasi, bank dan banyak bisnis lainnya.
1. Diablo6: Varian Baru Dari Ransomware Locky
Look who’s back: A fresh #spam campaign is distributing a new variant of #Locky #ransomware pic.twitter.com/X8RlD4MSvI
— Microsoft Security Intelligence (@MsftSecIntel) August 10, 2017
Yang pertama muncul pada awal 2016, Locky telah menjadi salah satu infeksi ransomware terbesar juga terdistribusi yang menginfeksi banyak organisasi di seluruh dunia.
Dengan menipu korban agar mengklik lampiran yang berbahaya, ransomware Locky mengenkripsi hampir semua format file di komputer korban dan jaringan.
Ransomware ini telah membuat banyak serangan dengan variannya yang didistribusikan melalui botnet Necurs dan botnet Dridex.
Peneliti keamanan kali ini telah menemukan sebuah program malware spam baru yang mendistribusikan varian baru Locky yang dikenal sebagai Diablo6 dan menargetkan komputer di seluruh dunia, dengan Amerika Serikat menjadi negara tertarget, diikuti oleh Austria.
Seorang peneliti keamanan independen yang menggunakan alias Racco42 pertama kali melihat varian Locky baru yang mengenkripsi file pada komputer yang terinfeksi dan menambahkan ekstensi file .diablo6.
#locky is back with "E 2017-08-09 (xxx).doc" campaign https://t.co/7rD0kGjdwc @malwrhunterteam @dvk01uk @h3x2b @Antelox
— Racco42 (@Racco42) August 9, 2017
Seperti biasanya, varian ransomware masuk dalam sebuah email yang berisi file Microsoft Word sebagai lampiran, yang ketika dibuka, skrip VBS Downloader dijalankan yang kemudian mencoba mendownload muatan Locky Diablo6 dari server file.
Ransomware ini kemudian mengenkripsi file menggunakan key RSA-2048 (algoritma enkripsi 256-bit AES CBC) pada komputer yang terinfeksi sebelum menampilkan pesan yang menginstruksikan korban untuk mendownload dan menginstal browser Tor; Dan kunjungi situs penyerang untuk petunjuk serta pembayaran lebih lanjut.
Varian Locky Diablo6 ini menuntut jumlah 0,49 Bitcoin (lebih dari $2.079) dari korban untuk mengembalikan file mereka.
Sayangnya, pada saat ini masih tidak mungkin untuk mengembalikan file yang dienkripsi oleh ekstensi .diablo6, jadi pengguna perlu berhati-hati saat membuka lampiran email.
Kembalinya Ransomware Disk-Encrypting Mamba
Mamba adalah infeksi ransomware berbahaya lainnya yang mengenkripsi seluruh hard disk di komputer yang terkena dampak, bukan hanya file, sehingga sistem benar-benar tidak dapat digunakan kecuali jika ada uang tebusan.
Taktik serupa juga telah dipekerjakan oleh serangan ransomware lainnya, termasuk Petya dan WannaCry, namun ransomware Mamba telah dirancang untuk menghancurkan korporat dan organisasi besar lainnya, bukannya memeras Bitcoin.
Akhir tahun lalu, Mamba menginfeksi jaringan sistem transportasi kota San Francisco (MUNI) pada akhir pekan Thanksgiving, menyebabkan penundaan kereta utama dan memaksa petugas menutup mesin tiket dan gerbang masuk di beberapa stasiun.
Kini, periset keamanan di Kaspersky Labs telah menemukan sebuah peluncuran serangan baru yang mendistribusikan infeksi Mamba, yang menargetkan jaringan perusahaan di negara-negara, terutama di Brasil dan Arab Saudi.
Mamba menggunakan utilitas enkripsi disk open source Windows yang sah, yang disebut DiskCryptor, untuk sepenuhnya mengunci hard drive komputer di organisasi yang ditargetkan. Jadi, tidak ada cara untuk mendekripsi data karena algoritma enkripsi yang digunakan oleh DiskCryptor sangat kuat.
Meskipun tidak jelas bagaimana ransomware ini awalnya masuk ke jaringan perusahaan, para periset percaya seperti kebanyakan varian ransomware, Mamba mungkin menggunakan kit eksploitasi di situs yang dikompromikan atau situs berbahaya atau lampiran berbahaya yang dikirim melalui email.
Ransomware ini tidak segera menuntut uang, namun pesan yang ditampilkan di layar yang terinfeksi hanya mengklaim bahwa hard drive korban telah dienkripsi dan menawarkan dua alamat email dan nomor ID unik untuk memulihkan kuncinya.
Cara Melindungi Diri Dari Serangan Ransomware
Ransomware telah menjadi salah satu ancaman terbesar bagi individu dan perusahaan dengan beberapa bulan terakhir terjadi beberapa wabah ransomware yang tersebar luas.
Saat ini, tidak ada decryptor yang tersedia untuk mendekripsi data yang dikunci oleh Mamba dan Locky juga, jadi pengguna sangat disarankan untuk mengikuti langkah-langkah pencegahan untuk melindungi diri mereka sendiri.
- Waspadalah terhadap email phishing: Selalu curiga terhadap dokumen tak diundang yang dikirim melalui email dan jangan pernah mengeklik tautan di dalam dokumen tersebut kecuali memverifikasi sumbernya.
- Back-up Secara Teratur: Untuk selalu mencengkeram semua file dan dokumen penting, back-up secara rutin di tempat yang membuat salinannya ke perangkat penyimpanan eksternal yang tidak selalu terhubung ke PC.
- Pastikan perangkat lunak dan sistem Antivirus tetap up-to-date: Selalu pastikan perangkat lunak dan sistem antivirus yang digunakan tetap up-to-date untuk melindungi dari ancaman terbaru.
