Cryptolocker, Enkripsi yang Haram

  Dalam hal pengamanan data, enkripsi hukumnya wajib. Dalam proses ini data diacak dengan algoritma tertentu agar isinya tak mudah diketahui kecuali oleh pihak yang memiliki kuncinya.
Belakangan, ada pihak yang membuat enkripsi menjadi sesuatu yang haram, bahkan tak diinginkan. Sebab enkripsi dilakukan oleh malware, tanpa ijin dari si empunya data. Data yang dienkripsi pun tidak bisa dibuka, kecuali kita meminta kuncinya kepada si pembuat malware. Kabar buruknya, kunci tadi tidak gratis, kamu dipaksa merogoh kocek untuk bisa membuka data yang dienkripsi. Itu pun tidak selamanya berhasil, bahkan di beberapa kasus, modus ini malah jadi penipuan untuk mengeruk keuntungan semata.
Apa yang sedang PCplus bicarakan adalah ulah dari malware anyar bernama Cryptolocker. Malware ini sengaja disebarkan untuk mengeruk keuntungan seperti tersebut di atas. Menurut perusahaan keamanan Vaksincom, korban Cryptolocker di seluruh dunia sudah berjumlah ribuan, termasuk Indonesia.
Menyebar Lewat Email
Muncul pertanyaan, dari mana malware ini masuk ke PC. Menumpang hasil unduhan kah, atau lewat jejaring sosial? Dari temuan kasus terbaru, Cryptolocker menyusup lewat lampiran email dengan ekstensi ZIP. Kira-kira isi email itu adalah pemberitahuan bahwa ada tagihan yang belum dibayar. Mana buktinya? Bukalah lampiran di email tadi, maka kamu langsung terinfeksi.

Contoh email jebakan yang berisi lampiran malware Cryptolocker (Vaksincom)

Ya, di dalam file ZIP tadi terdapat file dengan nama acak dengan ekstensi EXE. Berikut ini  beberapa contoh dari file malware yang dilampirkan.

• bad.exe
• Invoice-E_48F7B37FA8.pdf.exe
• Invoice-E_7B962B6199.zip
• STATEMNT-E_.pdf.exe
• STATEMNT-E_FF5039457304574230530914758303654534783458173204712-37407658458674.pdf.exe
• 051dd6888c6c6611342965b7f11402f8.exe
• c-b4dba-1261-1389186301051dd6888c6c6611342965b7f11402f8.exe
• 051dd6888c6c6611342965b7f11402f8.PE_STATEMNT-E__pdf_exe

Saat dijalankan, program berbahaya di atas akan langsung melakukan proses infeksi PC sembari diam-diam menghubungi server lewat internet untuk membuat 2 kunci, kunci publik dan kunci privat.
Kunci privat akan disimpan di server milik pembuat malware, sementara kunci publik dipakai untuk mengenkripsi semua dokumen di PC korban. Nah, data yang telah dienkripsi hanya bisa dibuka dengan memasangkan kunci publik dan privat.
Selanjutnya bisa ditebak, pemilik kunci privat tadi akan “memeras” kamu untuk mengirim sejumlah uang jika ingin data pulih. Kamu pun diberi batas waktu untuk melakukan transfer sebelum kunci privat yang dipegang pemilik malware dihapus permanen.
Apakah Saya Terinfeksi?
Ada beberapa indikator yang ditunjukkan Vaksincom saat sebuah PC positif terjangkit Cryptolocker. Salah satu indikator yang paling mudah dilihat adalah notifikasi yang ditunjukkan dalam rupa wallpaper komputer, seperti yang terlihat di gambar ini.

Screen saver dari PC yang sudah terinfeksi Cryptolocker. (Vaksincom)

Gambar tersebut muncul jika Cryptolocker berhasil ditangkap antivirus dan masuk dalam karantinanya. Jika badan virus dikeluarkan dari karantina maka petunjuk berikut akan kamu temukan.

Selain pengumuman seperti di atas, file-file di PC kamu juga otomatis akan dienkripsi oleh program jahat ini. Beberapa ekstensi file yang menjadi incaran Cryptolocker adalah:

• *.Odt = OpenOffice Writer
• *.ods = Spreadsheet
• *.odp = ODF Persentation
• *.ODM = OverDriveMedia File
• *.ODC = Office Data Connection
• *.odb = Open Document Database
• *.doc = Word 97-2003
• *.docx = Microsoft Word
• docm = Word Macro-Enable
• *. wps = Works WordProcessor file
• *. xls = Excel 97-2003
• *.xlsx = Excel workbook
• *.xlsm = Excel Macro-Enable
• *. xlsb = Excel Binary Workbook
• *. xlk = Excel Backup file
• *.ppt = Powerpoint 97-2003 Persentation
• *.pptx = Powerpoint Persentation
• *.PPTM = Microsoft PowerPoint Macro-Enabled Presentation file
• *.mdb = Microsoft Access databases
• *. accdb = Microsoft acces file
• *.pst = Personal Storage Table
• *.DWG = File Autocad
• *.dxf = Drawing Exchange Format File
• *.wpd = Word Perfect
• *.rtf = Rich Text Format
• *.WB2 = Corel Quattro Pro File
• *.MDF = Disk Image
• *.PSD = File AdobePhotoshop
• *.pdf = File PDF
• *.ai = adobe Ilustrator
• *.indd = adobe InDesign Document
• *. cdr = File CorelDraw
• * jpg, *.jpe, *.img = File Gambar
• *.3fr = Raw Image

Kalau file-file ini sudah terenkripsi, kamu tidak akan bisa lagi melihat isinya lewat program standar mereka. Beberapa mungkin akan menyatakan adanya error terhadap isi file, beberapa lainnya (seperti file foto atau gambar) akan menampilkan layar kosong.

File gambar yang sudah dienkripsi oleh Cryptolocker tidak bisa lagi menampilkan isinya (Vaksincom)

Mencegah dan Membersihkan Cryptolocker
Kendati tidak ada cara untuk mengembalikan data yang sudah terenkripsi, namun ada langkah yang bisa kamu tempuh untuk mencegah serta membersihkan Cryptolocker dari komputer agar tidak menyebar lebih luas dan menimbulkan kerusakan fatal. Vaksincom berbagi beberapa tipsnya:

1. Cadangkan (backup) data pentingmu secara berkala dan simpan di tempat terpisah.
2. Gunakan anti virus yang terupdate berkala. Antivirus seperti G-Data berhasil mendeteksi virus ini. Kendati demikian, pencadangan data penting mutlak diperlukan.
3. Apabila Cryptolocker sudah beraksi, maka kamu perlu untuk membersihkan registri Windows yang dipakai malware beroperasi. Cukup salin skrip di bawah ini ke Notepad, lalu simpan dengan nama fixreg.inf. Lalu jalankan dengan klik kanan dan pilih “Install”

[Version]

signature=”$Chicago$”

Provider=vaksincom Oyee 2014

[DefaultInstall]

DelReg=del

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, CryptoLocker
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce, *CryptoLocker