locky ransomware
TRANSCRIPT
-
7/26/2019 Locky Ransomware
1/4
2/25/2016 Locky Ransomware
http://www.vaksin.com/0216-locky2
Locky Ransomware
25 Februari 2016
Locky, preman digital bahagia di atas penderitaan korbannya (artikel 2/2)
Menginfeksi 100.000 komputer tiap hariJika data anda berhasil dienkrip oleh Locky, maka ia akan
meninggalkan file dengan nama _Locky_recover_instructions dan semua file akan dirubah dengan
nama yang telah ditentukan formatnya dengan ekstensi .locky. (lihat gambar 5)
Gambar 5, File yang dienkrip oleh locky berganti ekstensi menjadi .lockyJika anda membuka tautan
TOR (The Onion Router) yang telah dipersiapkan, anda akan menemui pesan permintaan tebusan.
Namun hal ini diperhalus seakan-akan pembuat Locky ini menjual software dekripsi data kepada anda.
Dengan tidak tahu malunya ia akan menampilkan informasi penjualan software spesial dengan nama
Locky Decryptor (TM) yang dikatakan bisa mendekrip dan mengembalikan semua file yang dienkrip.
Namun tidak seperti penjual software lain yang melakukan usahanya secara baik-baik dan bisa
diketahui alamatnya, pembuat Locky ini hanya menerima pembayaran melalui bitcoin. Tentunya
pembayaran menggunakan bitcoin digunakan supaya tidak mudah dilacak oleh pihak yang berwenang.
Pembuat malware ini juga berbaik hati mengajarkan cara untuk membeli bitcoin jika korbannya
berminat untuk mendapatkan kembali datanya yang dienkripsi. (lihat gambar 6)
-
7/26/2019 Locky Ransomware
2/4
2/25/2016 Locky Ransomware
http://www.vaksin.com/0216-locky2
Gambar 6, Aksi tidak tahu malu pembuat Locky menjual software dekripsi untuk membuka file yang
dienkripnyaMenginfeksi 400.000 korban dalam 4 hari
Menurut klaim Locky, ia menggunakan enkripsi RSA 2048 dan AES 128 yang dikenal sangat kuat untuk
melakukan enkripsi dan secara teknis hampir tidak mungkin dipecahkan secara konvensional dengan
kekuatan komputasi hari ini. Hal menarik lain dilakukan oleh Locky adalah ia membutuhkan komunikasi
dengan C2 (Command and Control) servernya untuk mendapatkan kunci enkripsi sebelum melakukan
enkripsi file. Hal ini berbeda dengan ransomware lain yang melakukan pembuatan kunci enkripsi secara
lokal di komputer korbannya dan mengirimkan kunci enkripsi tersebut kemudian ke C2 servernya. Hal ini
menunjukkan perubahan strategi ransomware dimana pembuatnya ingin mengantisipasi teknik vendor
sekuriti yang mampu mendapatkan kunci dekripsi jika kunci tersebut dibuat secara lokal di komputer
korban oleh ransomware.
Korban Locky dalam 4 hari beraksi diperkirakan mencapai lebih dari 400.000 sistem komputer dan
aktivitas Locky bisa diidentifikasi dari aktivitas Word Macro Downloader yang dikenal dengan nama
-
7/26/2019 Locky Ransomware
3/4
2/25/2016 Locky Ransomware
http://www.vaksin.com/0216-locky2
Bartallex macro downloader. Jadi tugas lampiran email word macro hanyalah untuk mengunduh
malware Locky yang telah dipersiapkan sebelumnya dan menjalankannya. Kaitan Locky dengan
malware Dridex sangat kuat dan diperkirakan pembuat Dridex atau sebagian besar sourcecode Dridex
digunakan dalam malware Locky.
Ransomware selalu satu langkah di depan antivirus
Posisi hari ini, mayoritas vendor sekuriti sudah mendeteksi Locky, namun hal tersebut sama sekali tidak
memberikan gambaran perlindungan yang sebenarnya terhadap korban ransomware di masa depankarena pembuat malware / ransomware dengan mudah dapat membuat varian ransomware baru yang
tidak terdeteksi oleh antivirus dan kembali menjalankan aksinya. (lihat gambar 7)
Gambar 7, Dropper locky sudah terdeteksi oleh vendor antivirus namun hal ini tidak menjamin
perlindungan dari varian Locky lainnyaDalam banyak kasus aksi penyebaran dan infeksi ransomware di
masa depan akan menggunakan rekayasa sosial dan eksploitasi celah keamanan seperti yang
dilakukan oleh Locky. Karena itu, secara realistis sebenarnya agak sulit untuk mencegah aksi
ransomware di masa depan karenya kenyataannya pembuat ransomware sangat piawai membuat
varian-varian baru yang tidak terdeteksi antivirus dan memanfaatkan celah waktu sempit untuk beraksisampai ia di deteksi oleh antivirus, persis seperti internet banking trojan. Sebagai informasi trojan
banking Dridex ditengarai menginspirasi atau malah digunakan oleh pembuat Locky untuk
mengembangkan ransomware ini.Karena itu, hal utama yang harus anda lakukan adalah melakukan
backup data penting anda dengan baik, salah satunya adalah backup data penting otomatis ke cloud
dengan G Data Backup & Restore. Sesal dahulu pendapatan, sesal kemudian tidak berguna.Jika anda
administrator jaringan dan tertarik untuk memberikan perlindungan tambahan, ada beberapa tips
tambahan yang bisa anda gunakan setelah melakukan backup dengan baik dan benar seperti
-
7/26/2019 Locky Ransomware
4/4
2/25/2016 Locky Ransomware
http://www.vaksin.com/0216-locky2
melindungi Shadow Copy, blokir akses ke TOR dan monitor aktivitas enkripsi yang mencurigakan. Untuk
informasi detail bagaimana hal ini di implementasikan, silahkan hubungi vendor sekuriti anda. Namun di
atas segalanya sekali lagi, backup yang baik dan benar merupakan obat dewa menghadapi
ransomware.
Salam,
Alfons [email protected]
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom