A.

DESKRIPSI RANSOMWARE

Ransomware merupakan jenis malicious software tertentu yang menuntut tebusan

finansial dari seorang korban dengan melakukan penahanan pada aset atau data
yang bersifat pribadi. Kegiatan penyebaran ransomware dilakukan oleh penyerang
atau Threat Actor dengan tujuan utama adalah finansial, oleh karenanya Threat
Actor menjadikan data pribadi sebagai ancamannya.

1. Pendahuluan
Ransomware merupakan sebuah nama dari kelas malware yang terdiri dari dua
kata, ransom (tebusan) dan malware, yang bertujuan untuk menuntut pembayaran
untuk data / informasi pribadi yang telah dicuri, atau data yang aksesnya dibatasi
(enkripsi). Saat ini, malicious software telah melakukan diversifikasi (usaha
memperoleh keuntungan) dengan cara mereka memeras uang dari korban. Orang
dapat berargumen bahwa ransomware adalah bentuk pemerasan sederhana yang
digunakan untuk pemerasan secara massal, disebarkan ke banyak pengguna dan
dibuat lebih efisien dengan memanfaatkan Cryptocurrency untuk anonymity
sebuah transaksi. 

Munculnya ransomware telah menjadi sebuah epidemi secara global karena hal
tersebut terus memakan banyak korban di seluruh dunia, memaksa perusahaan
untuk memutuskan antara mencoba memulihkan data dari cadangan (dan
berpotensi kehilangan data penting sejak cadangan terakhir) dan membayar
sejumlah besar tebusan kepada peretas. Ransomware telah menjadi berita utama
baru-baru ini dengan mengumpulkan korban yang terkenal.
Berdasarkan gambar 1, serangan ransomware diawali dengan “malware arrival”
ditandai adanya aktivitas dari pengguna baik melakukan klik sebuah malicious
links atau malicious software. Setiap malware yang telah diklik, akan secara
otomatis melakukan koneksi ke C2C (Command and Control) yang merupakan
pusat kegiatan malicious software untuk melakukan pengiriman perintah
(Command) dan melakukan kontrol pada victim (Control).

Setiap file yang menjadi target, akan dilakukan enkripsi dan akan memunculkan
sebuah file note yang berisi alamat email penyerang beserta nomor rekening
pembayaran untuk dapat melakukan dekripsi file yang terkunci. Dengan demikian,
penyerang akan memberikan mekanisme dekripsi file jika pembayaran sudah
dilakukan. Namun, hal tersebut tidak dapat dipastikan karena beberapa pengguna
yang terkena ransomware dan melakukan pembayaran, penyerang tidak
memberikan informasi ini.

2. Jenis Ransomware

 Encrypting Ransomware

Jenis ransomware ini, setelah dijalankan, secara diam-diam akan

melakukan pencarian dan mengenkripsi file penting di sistem komputer
korban. Setelah langkah pertama selesai, sebuah pesan ditampilkan
 kepada pengguna yang meminta tebusan dan untuk mengembalikan file
yang terkunci (enkripsi). Instruksi rinci disajikan kepada pengguna.
Contoh dari encrypting ransomware adalah CryptoWall, CryptoLocker,
WannaCry dan Locky.

 Non-Encrypting Ransomware

Beda halnya dengan Ransomware jenis Encrypting, Ransomware jenis

non-encrypting melakukan penguncian akses pengguna ke sebuah sistem
komputer tanpa melakukan enkripsi pada sistem file dan menampilkan
pesan penyerang untuk menuntut sebuah tebusan (ransom) atau meminta
tindakan pengguna yang membutuhkan uang untuk membuka kunci.
Contoh ransomware ini adalah Winlocker dan Reveton.

 Leakware (Doxware)

Jenis ransomware ini berbeda dari yang sebelumnya di atas karena

mereka tidak memblokir akses ke sistem komputer korban atau informasi
apa pun yang disimpan di dalamnya. Namun sebaliknya, secara diam-
diam mengumpulkan informasi sensitif dari sistem komputer dan
menggunakannya untuk melakukan blackmail atau black campaign
korban. Informasi yang dikumpulkan disimpan di server atau mesin lain
yang terinfeksi dan penyerang mengancam korban bahwa data akan
dipublikasikan jika pembayaran tidak dilakukan.

 Mobile Ransomware

Ransomware ini menargetkan perangkat seluler (ponsel, tablet, dll) dan mengincar data
sensitif pengguna perangkat. Threat actor melakukan pembatasan akses dari pengguna ke
data korban, dan hanya muncul informasi mengenai detail yang harus dibayarkan beserta
informasi penyerang pada perangkat korban.

B. CARA RASOMWARE MASUK

Pada umumnya, cara ransomware masuk adalah dengan menggunakan trojan yang
disamarkan menjadi file atau aplikasi yang dikirimkan oleh penyerang. Jika Anda
membuka maupun mengunduh file atau aplikasi tersebut, maka berhati-hatilah
sebab perangkat lunak ini akan menemukan dan mengenkripsi semua file pada
perangkat komputer Anda. Berikut beberapa media yang paling sering digunakan
untuk menyebarkan ransomware :

 Exploit

Banyak hacker biasanya menggunakan exploit ini untuk mencari kelemahan

sistem. Pada dasarnya, alat ini disisipkan pada sebuah situs web yang berisi
iklan. Jika salah satu iklan tersebut diklik, maka pengguna akan diarahkan ke
halaman yang berisi perintah untuk mengunduh exploit. Sehingga, ini menjadi
celah bagi para hacker untuk menginfeksi sistem dan file dengan serangan
ransomware.

 Malicious Email Attachment

Hal kedua yang harus diwaspadai ialah mendownload lampiran email secara
sembarang. Hacker biasanya menggunakan email yang terkesan kredibel seperti
newsletter tawaran pekerjaan, lembaga sosial, hingga teknisi IT. Selain itu,
format file yang dilampirkan pun dapat bervariasi, 
seperti .exe, .doc, .js, .msi, .ppt, dan lainnya. Sehingga, tidak terlihat
mencurigakan.

 Link (tautan) dalam email

Tak hanya lampiran, hacker juga pada umumnya menggunakan tautan dalam
email yang dapat menginfeksi sistem komputer. Dengan menggunakan email
yang tampak terpercaya, hacker biasanya berhasil menarik perhatian pengguna
untuk mengklik tautan tersebut. Sehingga, pengguna selanjutnya diarahkan
untuk mendownload file pada situs website yang berisikan serangan
ransomware.
 C. CARA KERJA RASOMWARE

Ransomware mengidentifikasi drive pada sistem yang terinfeksi dan mulai

mengenkripsi file dalam setiap drive. Ransomware umumnya menambahkan
ekstensi ke file terenkripsi,
seperti .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vau
lt, atau .petya, untuk menunjukkan bahwa file telah dienkripsi. Ekstensi file
yang digunakan adalah unik untuk jenis ransomware.
Dari nama ekstensi itulah, seringkali nama-nama bandit ransomware dijuluki
oleh kalangan peneliti keamanan siber, sebut saja Petya, CryptoLocker dan lain-
lain.
Setelah ransomware menyelesaikan enkripsi file, malware membuat dan
menampilkan file atau file yang berisi instruksi tentang bagaimana korban dapat
membayar uang tebusan. Jika korban membayar uang tebusan, peretas dapat
memberikan kunci kriptografik yang dapat digunakan korban untuk membuka
kunci file, membuatnya dapat diakses.

D. DAMPAK RASOMWARE
 Seluruh format file, baik video, foto, atau dokumen lainnya berubah menjadi
format tertentu serta tidak dapat diakses.
 Data atau file yang berada di perangkat lain terinfeksi virus ransomware
setelah menggunakan flashdisk atau media penyimpanan lain yang
sebelumnya digunakan pada perangkat Anda.
 Terdapat pesan yang berasal dari hacker, biasanya dalam format txt yang
berisi surat ancaman dan permintaan tebusan dari pihak hacker.
 E. CARA MENGATASI RANSOMWARE
Dalam melakukan penanganan insiden siber ransomware, perlu dilakukan

penelusuran terkait penyebab malicious software (malware) yang mengakibatkan

terkuncinya data pengguna. Kegiatan penelusuran insiden siber dapat dilakukan
sesuai dengan tahapan sebagai berikut :

A. Fase Persiapan
Tahap ini adalah tahap dimana kebijakan, prosedur,teknologi, dan sumber
daya manusia harus disiapkan secara matang, dimana akan digunakan pada
proses penanganan terhadap insiden. Dalam suatu organisasi/institusi,
kemampuan melakukan respon yang cepat terhadap suatu insiden,
merupakan persiapan yang mendasar bagi penanganan insiden siber
ransomware.

Langkah yang dapat diambil, sebagai berikut :

1. Mempersiapkan tim tanggap insiden siber yang dapat berasal dari internal
atau eksternal organisasi;
2. Mempersiapkan dokumen pendukung untuk melakukan penanganan insiden,
misalkan dokumen prosedur penanganan insiden, dokumen kebijakan
penggunaan laptop/pc, antivirus, backup;
3. Melakukan koordinasi dengan pihak terkait, misalkan tim aplikasi, tim
infrastruktur, tim pakar, atau tim tanggap insiden lainnya (CSIRT) yang
mendukung dalam penanganan insiden siber;
4. Menyiapkan tools yang dapat berupa License Tools, Open Source Tools,
sumber terbuka lainnya. Tools yang dapat digunakan untuk melakukan
analisis misalkan Process Explorer
 (https://download.sysinternals.com/files/ProcessExplorer.zip) dan Autoruns
(https://download.sysinternals.com/files/Autoruns.zip). Beberapa website
yang menyediakan informasi mengenai serangan ransomware beserta teknik
mitigasi atau menyediakan decryption tools.

B. Fase Identifikasi dan Analisis

Melakukan identifikasi dan analisis terhadap sistemt erdampak guna
mendapatkan akar permasalahan dari insiden yang terjadi. Langkah yang

dapat dilakukan :

1. Melakukan identifikasi jenis ransomware untuk melakukan analisis lebih

lanjut. Adapun langkah-langkah yang dilakukan sebagai berikut :
o Temukan pesan yang disampaikan oleh aplikasi Ransomware
(README File). Dalam file pesan tersebut berisi mengenai alamat
email penyerang, string pesan dari malware tersebut;
o Temukan jenis ekstensi dari file yang terkena insiden siber
ransomware (misalkan *.crypt, *.cry, *.locked, dst);
o Gunakan file Readme, Email Penyerang, dan Sampel File yang
terkena insiden untuk mendapatkan jenis Ransomware melalui sumber
terbuka
misalkan https://nomoreransom.org atau https://blog.emsisoft.com
2. Memeriksa apakah antivirus berfungsi normal atau tidak. Hal ini karena ada
malware yang dapat menghancurkan instalasi antivirus dengan merusak
executable file, mengubah kunci registri atau merusak file definisi, maupun
menonaktifkan update dari signature suatu file.
3. Melakukan identifikasi dan analisis pada environment sistem terdampak
guna mencari persistent mechanism penyerang atau artefak digital hasil
penyerangan yang dilakukan. Proses yang dilakukan adalah sebagai berikut :
o Identifikasi dan analisis proses berjalan, misalkan menggunakan tools
Process Explorer untuk melakukan identifikasi Malicious Process
yang sedang berjalan di sistem komputer. Aplikasi Process Explorer
dapat secara langsung diaktifkan terkoneksi pada VirusTotal.com
untuk dilakukan Process Scanning dengan antivirus yang terdaftar;
o Identifikasi dan analisis jaringan komunikasi menggunakan tools
Netstat untuk melakukan identifikasi Malicious Connection baik
dengan status Listening, Established, SYN_SENT.
o Identifikasi dan analisis registry, aplikasi startup, layanan terjadwal,
browser history dengan menggunakan Tools Autoruns untuk
melakukan identifikasi Malicious Activity dan Persistent Mechanism
pada sistem terdampak;
  dentifikasi dan analisis sistem log untuk mencari history penyerang dalam
melakukan serangan pada sistem.

1. Melakukan identifikasi dan analisis pada sistem jaringan komunikasi untuk

mengetahui Lateral Movement dari penyerang dengan melakukan
implementasi daftar indikasi kebocoran (indicator of compromise) pada
perimeter keamanan seperti Firewall, Network IDS, Host IDS.

c) Fase Penahanan

Tahap ini bertujuan untuk mencegah penyebaran Ransomware. Prosedur yang

dilakukan pada tahap penahanan adalah sebagai berikut :

1. Melakukan isolasi sistem terdampak agar insiden siber ransomware tidak

menyebar melalui jaringan misalkan dengan menutup akses ke jaringan.
 2. Mengubah konfigurasi routing table pada Firewall untuk memisahkan
sistem yang terinfeksi dengan sistem lainnya. 
3. Melakukan backup data pada sistem yang terdampak. 
4. Identifikasi gejala kemiripan pada sistem lain untuk mencegah penyebaran
serangan. Jika terdapat kemiripan, maka sistem tersebut juga harus
dilakukan proses penahanan.

d) Fase Penghapusan

Tahap ini merupakan tahapan dimana beberapa teknik yang berbeda-beda

digunakan untuk melakukan analisa terhadap malware dan
menghapus malware dari sistem yang telah terinfeksi. Proses-proses yang
dilakukan dalam tahap ini adalah sebagai berikut :

1. Menghentikan proses yang terindikasi merupakan Malicious Process;

2. Menghapus autostart process yang mencurigakan dari hasil analisa
aplikasi autostart;
3. Jika terdapat user–user yang dibuat oleh malware, maka hapus user–
user yang tidak dikenali tersebut untuk menghindari masuknya
kembali malware melalui user yang tidak dikenal tersebut;
4. Setelah program malware dihapus dan malicious process di kill process,
lakukan full scanning terhadap sistem menggunakan signature antivirus
yang sudah diperbaharui.

e) Fase Pemulihan

Tahap pemulihan merupakan tahap mengembalikan sistem terdampak pada kondisi

normal seperti semula. Proses yang dilakukan adalah sebagai berikut :

1. Melakukan dekripsi file yang terkena dampak dengan menggunakan

decryption tools yang tersedia;
2. Melakukan validasi sistem untuk memastikan sudah tidak ada aplikasi atau
file yang rusak atau terinfeksi. Begitu pula kesalahan atau kekurangan
konfigurasi sistem untuk kemudian disesuaikan kembali;
3. Melakukan aktivitas monitoring untuk memantau lalu lintas jaringan yang
terhubung;
4. Jika terjadi kerusakan yang cukup parah (file sistem terhapus, data penting
hilang, menyebabkan kegagalan booting pada sistem operasi), maka sistem
dibangun ulang dari file backup terakhir sistem yang dimiliki;
5. Melakukan update/patching Sistem Komputer dan Antivirus
f) Fase Tindak Lanjut

Tahap ini adalah fase di mana semua dokumentasi kegiatan yang dilakukan dicatat

sebagai referensi untuk masa mendatang. Prosedur yang dapat dilakukan adalah
sebagai berikut:

1. Membuat dokumentasi dan laporan terkait penanganan insiden siber

ransomware, yang berisi langkah-langkah dan hasil yang telah didapatkan. 
2. Memberikan analisa dan penjelasan apa yang harus dilakukan, sehingga
meminimalisir insiden serupa tidak terulang kembali. 
3. Menuliskan bukti-bukti yang ditemukan, hal ini terkait dengan proses
hukum kedepannya. 
4. Membuat evaluasi dan rekomendasi. Rekomendasi yang dapat diberikan
diantaranya: 
5. Peningkatan pengetahuan tentang penanganan insiden Ransomware,
misalnya melalui pelatihan, cyber exercise.
6. Implementasikan sistem monitoring untuk pendeteksian dini serangan
ataupun insiden siber.
7. Meningkatkan pertahanan sistem
8. Melakukan penyempurnaan prosedur penanganan insiden siber berdasarkan
insiden siber yang terjadi.

F. SOLUSI PENCEGAHAN

Untuk mencegah terjadinya insiden siber ransomware, berikut beberapa tips yang
dapat dilakukan :

a. Selalu pastikan komputer mendapatkan patch terbaru dan pembaruan terbaru

Untuk dapat memastikan sistem komputer mendapatkan patch terbaru dan

pembaruan terbaru, perlu melakukan aktivasi fitur “Windows Update”. Fitur ini
akan selalu memeriksa pembaruan terbaru pada pusat data sistem komputer
Windows. Setiap pembaruan yang diterima akan dilakukan instalasi pada sistem
komputer. Usahakan untuk melakukan backup sebelum melakukan pembaruan
sistem guna mencegah adanya kerusakan atau eror pada saat melakukan instalasi
pembaruan sistem;
2. Melakukan scanning komputer menggunakan Anti-Virus dengan pembaruan
terbaru

Anti-Virus yang tersedia secara default dari sistem komputer Windows adalah
Windows Defender. Anti-Virus ini sangat membantu sistem komputer untuk
mengetahui keberadaan aplikasi tidak dikenal atau mempunyai signature malware.
Selalu pastikan melakukan scanning pada sistem dan melakukan update
pembaruan pada Anti-Virus tersebut.

3. Waspada pada setiap link yang diterima

Waspada akan adanya email spam yang mencantumkan sebuah link untuk di klik
atau mengunduh sebuah file. Cek terlebih dahulu setiap link dengan menggunakan
VirusTotal, untuk mendapatkan info bahwa link tersebut malicious atau tidak.

4. Selalu mengaktifkan firewall pada komputer

Windows Firewall merupakan salah satu elemen terpenting dari OS Windows.

Fitur  Windows Firewall terus  ditingkatkan seperti mengontrol
koneksi  keluar  dari  suatu  aplikasi  serta  user
juga  mampu  mengatur  Windows  Firewall dengan cukup mudah. Program-
program  pada Windows  ini  akan  secara  otomatis  membuat
sebuah  Rules/Aturan  di  dalam  Windows
Firewall  sehingga  program  tersebut  bisa melakukan  Update.

5. Mengaktifkan fitur “safe browsing” pada peramban (browser) yang

digunakan

Teknologi Safe Browsing Google dapat memeriksa miliaran URL per hari untuk
mencari situs yang tidak aman. Setiap hari, Google menemukan ribuan situs baru
yang tidak aman, yang sebagian besar merupakan situs sah yang telah disusupi.
Jika mendeteksi situs yang tidak aman, Google akan menampilkan peringatan dan
dapat menelusuri untuk melihat apakah situs saat ini berbahaya untuk dikunjungi.

1. Lakukan backup file penting secara berkala

Lakukan backup sistem atau file penting secara berkala dengan melakukan backup
pada media penyimpanan eksternal. Sehingga jika terjadi kerusakan data akan
dapat dilakukan restore pada sistem terakhir melakukan backup.
 PENUTUP

Kesimpulan

Virus Ransomware adalah Virus yang sangat merugikan dan sangat berbahaya bagi
banyak orang, maka perlu ada nya pengetahuan yang cukup mengenai aplikasi atau
media apa saja yang mungkin menjadi pintu masuk virus tersebut keperangkat
Komputer kita.

Dan dengan ada nya antivirus juga tidak menutup kemungkinan virus tersebut
dapat masuk dengan mudah, antivirus hanya mengurangi resiko Komputer terkena
virus, tetapi di karenakan Algoritma Virus Ransomware yang sudah semakin
canggih dan berkembang ketimbang Antivirus Jaman Sekarang, jika Komputer
sudah terkena virus tersebut maka akan sangat sulit untuk bisa membersihkan nya.
 CONTOH KASUS

 Non-Encrypting Ransomware
Ada suatu kasus yang diceritakan oleh @A'im Tekhnik di Halaman Facebook dia,,

Dia bercerita bahwa dia sedang mendapat Job untuk memperbaiki Laptop Customer yang mengeluh
bahwa laptop nya tidak dapat dibuka,, lalu ketika dia mencoba untuk melakukan booting muncul gambar
seperti di bawah,

Dan setelah iya teleli lebih dalam, dia mendapati bahwa laptop customer tersebut sudah terkena Virus
Ransomware Tipe Non-Encrypting.
Dan disini kita bisa lihat bahwa sang pembuat virus ingin memeras Korban dengan harapan korban
mentransfer sejumlah Mata Uang Elektronik Bitcoin kepada si pembuat virus.. namun ini hanya omong
kosong sang pembuat virus,, nyata nya banyak kasus penebusan data,, namun tidak ada respon dari sang
pembuat virus dan berakhir pada hilang nya semua file.

Akhir nya @A'im Tekhnik, meminta izin kepada Customer dia untuk bisa menghapus semua data yang
sudah terinveksi, dan melakukan instal ulang Sistem Operasi..