Thursday, July 14, 2016

Ransomware drugvokrug727 Troldesh Shade

Pada bulan Mei 2016 kemaren sempat heboh dengan kejadian infeksi oleh ransomware. Dan kebetulan salah satu client saya juga sempat mengalaminya. Hampir semua file yang ada di server ter-encrypt, berubah nama dan extensionnya menjadi .xtbl.


Contoh file terinfeksi ransomware
Awal kejadiannya administrator server tersebut baru menyadari server tersebut tidak berfungsi sebagai mestinya. Beberapa service tidak bisa diakses. Bahkan proses dari Task Manager pun juga terlihat aneh.


Contoh proses terinfeksi ransomware
Dari perubahan nama file memang sudah jelas bahwa server sudah terinfeksi oleh ransomware dan seolah-olah kita dipaksa untuk menghubungi drugvokrug727@india.com. Berikut salah satu screenshot oleh orang yang pernah menghubungi alamat email tersebut.


Contoh email pemerasan
Dia menyatakan bahwa dia adalah sekelompok tim Network Security, yang sudah menemukan vulnerability pada server dan menawarkan untuk melakukan dekripsi file-file yang sudah terinfeksi. Tentunya dengan membayar sejumlah uang. Pada contoh diatas diharuskan untuk membayar sebesar 3-5 bitcoin. Saat ini 5 Bitcoin = Sekitar 43 Juta Rupiah. Bayangkan pada 2014 lalu 1 bitcoin bisa mencapai 14 Juta Rupiah.


Bitcoin to Rupiah
Tidak berhenti sampai dengan melakukan infeksi server dengan ransomware, server tersebut tenyata juga dijadikan budak untuk menambang bitcoin. Dengan ditemukannya aplikasi Claymore CryptoNote CPU Miner.


Bitcoin miner Claymore CryptoNote
Tentunya ini adalah contoh sederhana dari bisnis pemerasan yang sedang booming saat ini. Satu hal yang pasti, sangat tidak disarankan untuk membayar kepada pelaku pemerasan.

Dengan adanya kejadian ini kita diharapkan untuk lebih hati-hati dan lebih peka terhadap IT Security. Selalu mengikuti IT Security best practice, penerapan security policy seperti password policy, melakukan backup secara berkala, update secara berkala, vulnerability assessment secara berkala, dan sesering mungkin untuk melakukan security awareness.

Sumber:

No comments:

Post a Comment