Cryptography Ransomware
Malware ini bertanggung jawab atas kerugian ratusan juta dolar setiap tahun. Karena jumlah yang besar untuk menghasilkan uang, versi baru sering muncul.
Ransomware dapat dibagi menjadi dua tipe dasar. Yang paling umum adalah crypto ransomware, yang mengenkripsi file dan data. Tipe kedua adalah ransomware loker. Versi ini mengunci komputer atau lainnya perangkat, mencegah korban menggunakannya.
Locker ransomware hanya mengunci perangkat; data yang tersimpan di perangkat biasanya tidak tersentuh. Akibatnya, jika malware dihilangkan, maka data tidak tersentuh. Bahkan jika malware tidak dapat dengan mudah dihapus, data seringkali dapat dipulihkan dengan memindahkan perangkat penyimpanan, biasanya hard drive, ke komputer lain yang berfungsi.
Crypto ransomware mengenkripsi data, jadi meskipun malware dihapus dari perangkat atau media penyimpanan dipindahkan ke perangkat lain, data tidak dapat diakses. Biasanya, crypto ransomware tidak menargetkan file sistem, memungkinkan perangkat untuk terus berfungsi meskipun sedang terinfeksi.
Ternyata ransomware ini dibangun dengan pemrograman JavaScript dan PHP serta bantuan file interpreter, yang menyebabkan sulit dideteksi oleh antivirus. Hal ini mengingat algoritma kriptografi pada file JavaScript dan PHP lebih leluasa diimplementasikan pada kedua jenis file ini dibandingkan terhadap file executable.
Ransom biasanya mengandalkan metode spam untuk mengirim lampiran email berisi file JavaScript yang men-download file intepreter dan file PHP yang berisi kode untuk proses enkripsi. Variant ransomware PHP yang ditemukan masih menggunakan algoritma kriptografi yang sederhana yaitu X O R sehingga ada kemungkinan file yang terenkripsi masih dapat diperbaiki.
Konsep ransomware penyandian file ditemukan dan diimplementasikan oleh Young dan Yung di Universitas Columbia dan dipresentasikan pada konferensi Keamanan & Privasi IEEE 1996.
- [penyerang → korban] Penyerang menghasilkan pasangan kunci dan menempatkan kunci publik yang sesuai di malware. Malware dilepaskan.
- [korban → penyerang] Untuk melakukan serangan pemerasan, malware menghasilkan kunci simetris acak dan mengenkripsi data korban dengan itu. Ia menggunakan kunci publik di malware untuk mengenkripsi kunci simetris. Dikenal sebagai enkripsi hibrid dan menghasilkan cipherteks asimetris kecil serta cipherteks simetris dari data korban. Memusatkan kunci simetris dan data plaintext asli untuk mencegah pemulihan. Menempatkan pesan kepada pengguna yang menyertakan ciphertext asimetris dan cara membayar tebusan. Korban mengirimkan ciphertext asimetris dan uang elektronik kepada penyerang.
- [penyerang → korban] Penyerang menerima pembayaran, menafsirkan sandi asimetris dengan kunci pribadi penyerang, dan mengirimkan kunci simetris kepada korban. Korban mendekripsi data yang dienkripsi dengan kunci simetris yang diperlukan sehingga menyelesaikan serangan.
Serangan Ransomware biasanya dilakukan dengan menggunakan Trojan , memasuki sistem melalui, misalnya, lampiran berbahaya, tautan tertanam dalam email Phishing , atau kerentanan dalam layanan jaringan. Program kemudian menjalankan payload , yang mengunci sistem dalam beberapa cara, atau mengklaim untuk mengunci sistem tetapi tidak (misalnya, program scareware ). Payload dapat menampilkan peringatan palsu yang konon dilakukan oleh entitas seperti lembaga penegak hukum , dengan mengklaim bahwa sistem tersebut telah digunakan untuk kegiatan ilegal, berisi konten seperti pornografi dan media "bajakan" .
Beberapa Contoh Ransomware
CryptoLocker
Enkripsi ransomware muncul kembali pada bulan September 2013 dengan Trojan yang dikenal sebagai CryptoLocker , yang menghasilkan pasangan kunci RSA 2048-bit dan diunggah pada gilirannya ke server perintah-dan-kontrol, dan digunakan untuk mengenkripsi file menggunakan daftar putih ekstensi file tertentu. Malware mengancam akan menghapus kunci pribadi jika pembayaran Bitcoin atau voucher tunai prabayar tidak dilakukan dalam waktu 3 hari sejak infeksi. Karena ukuran kunci yang sangat besar yang digunakannya, analis dan mereka yang terkena dampak Trojan menganggap CryptoLocker sangat sulit untuk diperbaiki. Bahkan setelah tenggat waktu berlalu, kunci pribadi masih dapat diperoleh dengan menggunakan alat online, tetapi harganya akan meningkat menjadi 10 BTC yang harganya sekitar US $ 2300 pada November 2013.
CryptoLocker diisolasi oleh penyitaan botnet Gameover ZeuS sebagai bagian dari Operasi Tovar , sebagaimana diumumkan secara resmi oleh Departemen Kehakiman AS pada 2 Juni 2014. Departemen Kehakiman juga secara terbuka mengeluarkan dakwaan terhadap peretas Rusia Evgeniy Bogachev karena dugaan keterlibatannya di botnet. Diperkirakan setidaknya US $ 3 juta diperas dengan malware sebelum dimatikan.
CryptoWall
Trojan ransomware besar lainnya yang menargetkan Windows, CryptoWall, pertama kali muncul pada tahun 2014. Satu jenis CryptoWall didistribusikan sebagai bagian dari kampanye malvertising pada jaringan iklan Zedo pada akhir September 2014 yang menargetkan beberapa situs web utama; iklan diarahkan ke situs web jahat yang menggunakan eksploit plugin browser untuk mengunduh payload. Seorang peneliti Barracuda Networks juga mencatat bahwa payload ditandatangani dengan tanda tangan digital dalam upaya untuk terlihat dapat dipercaya oleh perangkat lunak keamanan. CryptoWall 3.0 menggunakan payload yang ditulis dalam JavaScript sebagai bagian dari lampiran email, yang mengunduh file executable yang disamarkan sebagai gambar JPG . Untuk menghindari deteksi lebih jauh, malware menciptakan instance baru explorer.exe dan svchost.exe untuk berkomunikasi dengan servernya. Saat mengenkripsi file, malware juga menghapus salinan bayangan volume dan menginstal spyware yang mencuri kata sandi dan dompet Bitcoin .
FBI melaporkan pada Juni 2015 bahwa hampir 1.000 korban telah menghubungi Pusat Pengaduan Kejahatan Internet biro untuk melaporkan infeksi CryptoWall, dan memperkirakan kerugian sedikitnya $ 18 juta.
Versi terbaru, CryptoWall 4.0, meningkatkan kodenya untuk menghindari deteksi antivirus, dan mengenkripsi tidak hanya data dalam file tetapi juga nama file.
Pertahanan sistem file terhadap ransomware
Sejumlah sistem file menyimpan snapshot dari data yang mereka pegang, yang dapat digunakan untuk memulihkan konten file dari waktu sebelum serangan ransomware jika ransomware tidak menonaktifkannya.
- Pada Windows, Volume shadow copy (VSS) sering digunakan untuk menyimpan cadangan data; ransomware sering menargetkan snapshot ini untuk mencegah pemulihan dan oleh karena itu sering disarankan untuk menonaktifkan akses pengguna ke alat pengguna VSSadmin.exe untuk mengurangi risiko ransomware dapat menonaktifkan atau menghapus salinan masa lalu.
- Pada Windows 10, pengguna dapat menambahkan direktori atau file tertentu ke Akses Folder Terkendali di Windows Defender untuk melindungi mereka dari ransomware. Disarankan untuk menambahkan cadangan dan direktori penting lainnya ke Akses Folder Terkendali.
- Server file yang menjalankan ZFS hampir secara universal kebal terhadap ransomware, karena ZFS mampu snapshotting bahkan sistem file besar berkali-kali dalam satu jam, dan snapshot ini tidak dapat diubah (hanya baca) dan mudah diputar kembali atau file dipulihkan jika terjadi kerusakan data. Secara umum, hanya administrator yang dapat menghapus (tetapi tidak dapat memodifikasi) foto.
Para ahli memiliki empat rekomendasi untuk individu dan bisnis yang mencoba mencegah infeksi ransomware:
Langkah 1: Cadangkan. Jika data dicadangkan, tidak perlu membayar uang tebusan untuk mendapatkan kembali data tersebut. Sebagai gantinya, itu dapat dipulihkan dari cadangan.
Langkah 2: Hindari Tautan dan Lampiran Email. Serangan phishing adalah cara paling umum untuk menyebar ransomware, jadi menghindari mengklik tautan atau membuka lampiran dalam email spam akan sangat membantu menghindari ransomware.
Langkah 3: Menambal dan Memblokir. Sistem operasi, browser, dan perangkat lunak keamanan harus selalu demikian terus ditambal dan mutakhir. Demikian juga, plug-in pihak ketiga, seperti Java dan Flash.
Langkah 4: Drop-and-Roll. Pada tanda pertama infeksi, mesin yang terinfeksi harus segera dimatikan (atau dicabut) untuk meminimalkan kerusakan pada file. Jika terhubung ke jaringan, administrator harus segera mematikan jaringan untuk meminimalkan penyebaran ransomware.
sumber:
https://doaj.org/article/4be003f8569f4a20bd3b58ef871b791e https://digitalcommons.kennesaw.edu/facpubs/4276/
Belum ada Komentar untuk "Cryptography Ransomware"
Posting Komentar