Custom Search

Jumaat, 27 Mei 2016

Perisian Tebusan 101 (kemaskini 2017-09-30)

Salam sejahtera semua,

Mutakhir ini banyak kali kita lihat jangkitan/serangan perisian tebusan(ransomware) terhadap bukan sahaja pengguna komputer di rumah mahupun pejabat, tetapi juga pada pelayan laman sesawang.

Apa bezanya perisian tebusan dengan perisian hasad lain?

Perisian tebusan berbeza dengan jangkitan perisian hasad lain. Perisian tebusan dari segi teknikalnya, tidak berapa kompleks walaupun 'obfuscate'. Sekiranya perisian tebusan ini dibuang, pengguna masih sengsara dek fail dan dokumen penting disulit perisian tebusan. Kunci untuk setiap mangsa adalah unik dan dihasilkan (generated) di pelayan milik seteru perisian tebusan(ransomware adversary). Bila mangsa terkena serangan perisian tebusan ini, memang peninglah kepala IT admin untuk  menyelesaikannya.

Sejarah ringkas perisian tebusan

AIDS Trojan boleh dikatakan pemula kepada perisian tebusan pada 1989 oleh Joseph Popp. Mangsa disuruh untuk membayar tebusan sebanyak 189 USD kepada "PC Cyborg Corporation". Kelemahan AIDS Trojan adalah ia menggunakan enkripsi simetri di mana kunci untu menyulitkan dan menyahsulitkan fail adalah kunci yang sama. Kunci ini tersembunyi pada kod Trojan itu sendiri.

Pengenalan perisian tebusan yang megungut Bitcoin dari pengguna bermula pada tahun 2013 oleh Cryptolocker dan terus berkembang pesat sehingga kini.



Garis masa perisian tebusan oleh F-Secure


Contoh perisian tebusan popular

TeslaCrypt
Dah ada decrypter tapi bukan untuk semua variant. Boleh dapatkan di sini http://www.talosintel.com/teslacrypt_tool/


CTB-Locker




CryptoLocker



CryptoWall



Cerber

Sudah popular menyerang pengguna Malaysia



Locky




Locker



Maktub Locker




Perisian Tebusan sebagai Servis (Ransomware-as-a-service)
Cerber, Locky, Tox antara yang termasuk dalam kategori ini. Siap ada affliate lagi di mana pembangun perisian tebusan ini hanya mengambil 45% dari hasil keuntungan perniagaan haram perisian tebusan ini.

Perisian Tebusan Sesawang (Web ransomware)
Biasa digunakan penggodam laman sesawang pada pelayan sesawang. Penggodam menyulitkan pangkalan data, skrip/fail sesawang dan meminta wang tebusan dari pemilik laman sesawang. Cara penyulitan agak unik, bergantung kepada penggodam.




Cecacing tebusan (Ransomworm) ZCryptor antara contoh perisian tebusan dalam kategori ini. Rujuk blog Microsoft https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/
Yang terbaharu, Wannacry Ransomworm yang menyerang lebih 150 buah negara. Anda boleh ikuti perkembangan terkini serangan cecacing perisian tebusan WannaCry di sini:

https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

https://www.mycert.org.my/en/services/advisories/mycert/2017/main/detail/1263/index.html

Bagaimana cara perisian tebusan disebarkan?

  • Lampiran e-mel (E-mail attachment) dalam bentuk executables dalam zip, fail dokumen hasad (malicious document).
  • Exploit kit seperti Angler yang dipasang pada laman sesawang yang telah dicerobohi penggodam.
  • Oleh komponen cecacing seperti ZCrypt dan WannaCry. 
  • Dilancarkan oleh penggodam sendiri selepas berjaya menembus masuk pelayan atau komputer anda.

Bagaimana saya boleh mengenalpasti jenis perisian tebusan?

 Boleh rujuk ID Ransomware di https://id-ransomware.malwarehunterteam.com/

Bagaimana untuk selesaikan masalah perisian tebusan ni?

Untuk masalah perisian tebusan ni memang tiada cara lain, mencegah lebih baik dari merawati. Buat salinan sandaran (backup copy) semua dokumen penting. Tiada istilah sandaran terlalu banyak. "There is no such thing as too much backup". Elakkan membayar tebusan, tiada jaminan anda akan boleh nyahsulit fail yang ditawan seteru perisian tebusan.

Apa yang dimaksudkan dengan tatacara sandaran (backup procedure) yang baik untuk mengatasi perisian tebusan?

Salin fail ke "partition" lain bukan sandaran yang baik.
Salin ke Network Attached Storage yang ada mount pada PC pengguna pun bukan sandaran yang baik. Ada perisian tebusan yang mencari 'network drive' untuk disulitkan.

Tatacara sandaran yang baik adalah sandaran luar tapak (off-site backup). Peranti luar(external drive) yang jarang atau tidak pernah digunakan langsung oleh peranti yang disandar. Untuk pengguna biasa, cloud backup yang menyokong "file versioning" adalah antara penyelesaian termurah untuk persediaan menghadapi perisian tebusan. Dropbox antara pembekal storan awan yang menyokong fungsi ini.

Kalau perusahaan, adakan SOP untuk tatacara sandaran yang baik, boleh rujuk panduan berkaitan ISMS, agak panjang untuk saya tulis di pos ini. Boleh rujuk MyCERT Alert dan Advisory yang saya letak dalam rujukan di bawah.

Anda juga boleh rujuk panduan dari No More Ransom Project di https://www.nomoreransom.org/ransomware-qa.html dan juga https://www.nomoreransom.org/prevention-advice.html

Rujukan:

https://www.mycert.org.my/en/services/advisories/mycert/2017/main/detail/1263/index.html

https://labsblog.f-secure.com/2017/04/18/ransomware-timeline-2010-2017/

https://en.wikipedia.org/wiki/Ransomware

http://blogs.cisco.com/security/talos/teslacrypt

https://blogs.sophos.com/2015/12/31/the-current-state-of-ransomware-ctb-locker/

https://nakedsecurity.sophos.com/2015/03/16/teslacrypt-ransomware-attacks-gamers-all-your-files-are-belong-to-us/

http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information

http://phishme.com/inside-look-dropbox-phishing-cryptowall-bitcoins/

http://www.forbes.com/sites/thomasbrewster/2016/02/18/ransomware-hollywood-payment-locky-menace

https://www.backblaze.com/blog/locker-cryptolocker-progeny-awakens/

ID Ransomware http://www.bleepingcomputer.com/forums/t/608858/id-ransomware-identify-what-ransomware-encrypted-your-files/

MA-591.042016: MyCERT Alert – Recent Threat of TeslaCrypt Ransomware https://www.mycert.org.my/en/services/advisories/mycert/2016/main/detail/1188/index.html

MA-365.112013 : MyCERT Alert - Recent Threats of CryptoLocker Ransomware https://www.mycert.org.my/en/services/advisories/mycert/2013/main/detail/942/index.html

MA-424.102014: MyCERT Advisory – Crypto Ransomware https://www.mycert.org.my/en/services/advisories/mycert/2014/main/detail/1010/index.html

ID Ransomware https://id-ransomware.malwarehunterteam.com/

https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/

https://www.nomoreransom.org/ransomware-qa.html

https://www.nomoreransom.org/prevention-advice.html

1 ulasan:

Amsama Revolve berkata...

Maklumat yang sangat berguna. Terima kasih kerana berkongsi. Hihi

carian google

Custom Search