Kasus Ransomware TeslaCryp 2.0

Menurut WE Online, Jakarta - Kasperky Lab telah mendeteksi adanya perilaku ganjil dalam ancaman terbaru darikelompok ransomware enkriptor, TeslaCrypt. Versi 2.0 dari Trojan yang terkenal menginfeksi komputer para gamer ini, memperlihatkan halaman HTML di web browser yang merupakan salinan dari CryptoWall 3.0, program ransomware lain yang juga terkenal kekejamnya.

Kemungkinan pelaku ancaman melakukan ini sebagai sebuah bentuk pernyataan: sejauh ini, masih banyak berkas komputer yang dienkripsi oleh CryptoWall tidak dapat didekripsi, tidak seperti kasus-kasus infeksi TeslaCrypt yang lalu. Setelah infeksi sukses, program jahat ini menuntut tebusan sebesar US$500 untuk kunci dekripsi; bila korban menunda, jumlah tebusan bertambah dua kali lipat.

Kasus awal dari TeslaCrypt terdeteksi pada Februari 2015 dan ransomware Trojan baru ini langsung memperoleh reputasi sebagai ancaman berbahaya bagi para komputer gamer. Di antara tipe berkas yang menjadi targetnya, TeslaCrypt mencoba untuk menginfeksi berkas gaming khusus: game saves,profil pengguna, rekaman ulangan adegan, dan sebagainya. Namun demikian, TeslaCrypt tidak dapat mengenkripsi berkas yang ukurannya lebih besar dari 268MB.

Mekanisme Infeksi

Ketika menginfeksi korban baru, TeslaCrypt membuat alamat Bitcoin baru dan unik untuk mendapatkan uang tebusan dan kunci rahasia untuk menarik uang tersebut. Server C&C TeslaCrypt berlokasi di dalam jaringan Tor. Trojan versi 2.0 ini menggunakan dua set kunci: satu set unik dan berada dalam sistem yang terinfeksi, sedangkan satu set lainnya dibentuk berulang kali setiap program di-relaunch dalam sistem. Selain itu, kunci rahasia yang digunakan untuk mengenkripsi berkas pengguna tidak disimpan dalam hard drive, sehingga membuat proses dekripsi menjadi jauh lebih rumit.

Program dari kelompok malware TeslaCrypt ketika diamati menyebarluas melalui exploit kit Angler, Sweet Orange, dan Nuclear. Dalam mekanisme penyebaran malware ini, korban mengunjungi situs yang terinfeksi dan kode program ini memanfaatkan kerentanan browser, biasanya dalam plugins, untuk memasang malware di komputer target.

"TeslaCrypt, pemburu para gamer, didesain untuk menipu dan mengintimidasi pengguna. Misalnya, versi sebelumnya menampilkan pesan kepada korban yang mengatakan bahwa berkas mereka dienkripsi oleh RSA-2048 encryption algorithm yang terkenal itu, dan kemudian mendemonstrasikan bahwa tidak ada pilihan lain selain membayar tebusan. Kenyataannya, penjahat cyber ini tidak menggunakan algoritma tersebut. Di modifikasinya yang terbaru, TeslaCrypt meyakinkan korban bahwa mereka berurusan dengan CryptoWall – apabila berkas pengguna terenkripsi olehnya, tidak ada jalan untuk mendekripsikan berkas tersebut. Namun, semua link yang mengacu pada server TeslaCrypt– tampaknya, pembuat malware ini tidak berniat untuk memberikan uang dari korban mereka ke kompetitor," ujar Fedor Sinitsyn, analis malware senior di Kaspersky Lab.

Rekomendasi Kepada Pengguna

Buat salinan cadangan dari berkas penting Anda secara berkala. Salinan harus disimpan dalam media yang dapat dilepaskan secara fisik segera setelah penyalinan selesai.

Sangat penting untuk meng-update software Anda tepat waktu, terutama browser dan plugins.

Apabila masih ada program jahat yang mendarat di sistem Anda, sebaiknya segera diserahkan ke produk keamanan terbaru dengan database yang sudah di-update dan modul keamanan telah aktif.

Produk Kaspersky Lab mendeteksi program jahat ini sebagai Trojan-Ransom.Win32.Bitman.tk, dan sukses melindungi penggunanya dari ancaman program tersebut.

Sebagai tambahan, Cryptomalware Countermeasure Subsystem diimplementasikan dalam solusi Kaspersky Lab. Sistem ini mencatat aktivitas dari aplikasi mencurigakan yang mencoba membuka berkas personal pengguna dan segera membuat salinan cadangan dari berkas tersebut. Apabila aplikasi ini dinilai berbahaya, sistem secara otomatis melakukan rollback perubahan yang tidak diminta pengguna dengan mengganti berkas tersebut dengan salinan. Dengan demikian, pengguna terlindung dari cyptomalware yang belum dikenali.

Menurut WE Online, Jakarta - Kasperky Lab telah mendeteksi adanya perilaku ganjil dalam ancaman terbaru darikelompok ransomware enkriptor, TeslaCrypt. Versi 2.0 dari Trojan yang terkenal menginfeksi komputer para gamer ini, memperlihatkan halaman HTML di web browser yang merupakan salinan dari CryptoWall 3.0, program ransomware lain yang juga terkenal kekejamnya.

Kemungkinan pelaku ancaman melakukan ini sebagai sebuah bentuk pernyataan: sejauh ini, masih banyak berkas komputer yang dienkripsi oleh CryptoWall tidak dapat didekripsi, tidak seperti kasus-kasus infeksi TeslaCrypt yang lalu. Setelah infeksi sukses, program jahat ini menuntut tebusan sebesar US$500 untuk kunci dekripsi; bila korban menunda, jumlah tebusan bertambah dua kali lipat.

Kasus awal dari TeslaCrypt terdeteksi pada Februari 2015 dan ransomware Trojan baru ini langsung memperoleh reputasi sebagai ancaman berbahaya bagi para komputer gamer. Di antara tipe berkas yang menjadi targetnya, TeslaCrypt mencoba untuk menginfeksi berkas gaming khusus: game saves,profil pengguna, rekaman ulangan adegan, dan sebagainya. Namun demikian, TeslaCrypt tidak dapat mengenkripsi berkas yang ukurannya lebih besar dari 268MB.

Mekanisme Infeksi

Ketika menginfeksi korban baru, TeslaCrypt membuat alamat Bitcoin baru dan unik untuk mendapatkan uang tebusan dan kunci rahasia untuk menarik uang tersebut. Server C&C TeslaCrypt berlokasi di dalam jaringan Tor. Trojan versi 2.0 ini menggunakan dua set kunci: satu set unik dan berada dalam sistem yang terinfeksi, sedangkan satu set lainnya dibentuk berulang kali setiap program di-relaunch dalam sistem. Selain itu, kunci rahasia yang digunakan untuk mengenkripsi berkas pengguna tidak disimpan dalam hard drive, sehingga membuat proses dekripsi menjadi jauh lebih rumit.

Program dari kelompok malware TeslaCrypt ketika diamati menyebarluas melalui exploit kit Angler, Sweet Orange, dan Nuclear. Dalam mekanisme penyebaran malware ini, korban mengunjungi situs yang terinfeksi dan kode program ini memanfaatkan kerentanan browser, biasanya dalam plugins, untuk memasang malware di komputer target.

"TeslaCrypt, pemburu para gamer, didesain untuk menipu dan mengintimidasi pengguna. Misalnya, versi sebelumnya menampilkan pesan kepada korban yang mengatakan bahwa berkas mereka dienkripsi oleh RSA-2048 encryption algorithm yang terkenal itu, dan kemudian mendemonstrasikan bahwa tidak ada pilihan lain selain membayar tebusan. Kenyataannya, penjahat cyber ini tidak menggunakan algoritma tersebut. Di modifikasinya yang terbaru, TeslaCrypt meyakinkan korban bahwa mereka berurusan dengan CryptoWall – apabila berkas pengguna terenkripsi olehnya, tidak ada jalan untuk mendekripsikan berkas tersebut. Namun, semua link yang mengacu pada server TeslaCrypt– tampaknya, pembuat malware ini tidak berniat untuk memberikan uang dari korban mereka ke kompetitor," ujar Fedor Sinitsyn, analis malware senior di Kaspersky Lab.

Rekomendasi Kepada Pengguna

Buat salinan cadangan dari berkas penting Anda secara berkala. Salinan harus disimpan dalam media yang dapat dilepaskan secara fisik segera setelah penyalinan selesai.

Sangat penting untuk meng-update software Anda tepat waktu, terutama browser dan plugins.

Apabila masih ada program jahat yang mendarat di sistem Anda, sebaiknya segera diserahkan ke produk keamanan terbaru dengan database yang sudah di-update dan modul keamanan telah aktif.

Produk Kaspersky Lab mendeteksi program jahat ini sebagai Trojan-Ransom.Win32.Bitman.tk, dan sukses melindungi penggunanya dari ancaman program tersebut.

Sebagai tambahan, Cryptomalware Countermeasure Subsystem diimplementasikan dalam solusi Kaspersky Lab. Sistem ini mencatat aktivitas dari aplikasi mencurigakan yang mencoba membuka berkas personal pengguna dan segera membuat salinan cadangan dari berkas tersebut. Apabila aplikasi ini dinilai berbahaya, sistem secara otomatis melakukan rollback perubahan yang tidak diminta pengguna dengan mengganti berkas tersebut dengan salinan. Dengan demikian, pengguna terlindung dari cyptomalware yang belum dikenali.