Mutakhir ini banyak kali kita lihat jangkitan/serangan perisian tebusan(ransomware) terhadap bukan sahaja pengguna komputer di rumah mahupun pejabat, tetapi juga pada pelayan laman sesawang.
Apa bezanya perisian tebusan dengan perisian hasad lain?
Perisian tebusan berbeza dengan jangkitan perisian hasad lain. Perisian tebusan dari segi teknikalnya, tidak berapa kompleks walaupun 'obfuscate'. Sekiranya perisian tebusan ini dibuang, pengguna masih sengsara dek fail dan dokumen penting disulit perisian tebusan. Kunci untuk setiap mangsa adalah unik dan dihasilkan (generated) di pelayan milik seteru perisian tebusan(ransomware adversary). Bila mangsa terkena serangan perisian tebusan ini, memang peninglah kepala IT admin untuk menyelesaikannya.
Sejarah ringkas perisian tebusan
AIDS Trojan boleh dikatakan pemula kepada perisian tebusan pada 1989 oleh Joseph Popp. Mangsa disuruh untuk membayar tebusan sebanyak 189 USD kepada "PC Cyborg Corporation". Kelemahan AIDS Trojan adalah ia menggunakan enkripsi simetri di mana kunci untu menyulitkan dan menyahsulitkan fail adalah kunci yang sama. Kunci ini tersembunyi pada kod Trojan itu sendiri.
Pengenalan perisian tebusan yang mengugut Bitcoin dan matawang kripto lain dari pengguna bermula pada tahun 2013 oleh Cryptolocker dan terus berkembang pesat sehingga kini.
 |
| Garis masa perisian hasad. Infografik oleh F-Secure |
Contoh perisian tebusan popular
TeslaCrypt
Dah ada decrypter tapi bukan untuk semua variant. Boleh dapatkan di sini http://www.talosintel.com/teslacrypt_tool/
CTB-Locker
CryptoLocker
CryptoWall
Cerber
Sudah popular menyerang pengguna Malaysia
Locky
Locker
Maktub Locker
Perisian Tebusan sebagai Servis (Ransomware-as-a-service)
Cerber, Locky, Tox antara yang termasuk dalam kategori ini. Siap ada affliate lagi di mana pembangun perisian tebusan ini hanya mengambil 45% dari hasil keuntungan perniagaan haram perisian tebusan ini.
Perisian Tebusan Sesawang (Web ransomware)
Biasa digunakan penggodam laman sesawang pada pelayan sesawang. Penggodam menyulitkan pangkalan data, skrip/fail sesawang dan meminta wang tebusan dari pemilik laman sesawang. Cara penyulitan agak unik, bergantung kepada penggodam.
Cecacing tebusan (Ransomworm) ZCryptor antara contoh perisian tebusan dalam kategori ini. Rujuk blog Microsoft https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/
Yang terbaharu, Wannacry Ransomworm yang menyerang lebih 150 buah negara. Anda boleh ikuti perkembangan terkini serangan cecacing perisian tebusan WannaCry di sini:
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
https://www.mycert.org.my/portal/advisory?id=MA-661.052017
Bagaimana cara perisian tebusan disebarkan?
- Lampiran e-mel (E-mail attachment) dalam bentuk executables dalam zip, fail dokumen hasad (malicious document).
- Exploit kit seperti Angler yang dipasang pada laman sesawang yang telah dicerobohi penggodam.
- Oleh komponen cecacing seperti ZCrypt dan WannaCry.
- Dilancarkan oleh penggodam sendiri selepas berjaya menembus masuk pelayan atau komputer anda.
Bagaimana saya boleh mengenalpasti jenis perisian tebusan?
Boleh rujuk ID Ransomware di https://id-ransomware.malwarehunterteam.com/
Bagaimana untuk selesaikan masalah perisian tebusan ni?
Untuk masalah perisian tebusan ni memang tiada cara lain, mencegah lebih baik dari merawati. Buat salinan sandaran (backup copy) semua dokumen penting. Tiada istilah sandaran terlalu banyak. "There is no such thing as too much backup". Elakkan membayar tebusan, tiada jaminan anda akan boleh nyahsulit fail yang ditawan seteru perisian tebusan.
Apa yang dimaksudkan dengan tatacara sandaran (backup procedure) yang baik untuk mengatasi perisian tebusan?
Salin fail ke "partition" lain bukan sandaran yang baik.
Salin ke Network Attached Storage yang ada mount pada PC pengguna pun bukan sandaran yang baik. Ada perisian tebusan yang mencari 'network drive' untuk disulitkan.
Tatacara sandaran yang baik adalah sandaran luar tapak (off-site backup). Peranti luar(external drive) yang jarang atau tidak pernah digunakan langsung oleh peranti yang disandar. Untuk pengguna biasa, cloud backup yang menyokong "file versioning" adalah antara penyelesaian termurah untuk persediaan menghadapi perisian tebusan. Dropbox antara pembekal storan awan yang menyokong fungsi ini.
Kalau perusahaan, adakan SOP untuk tatacara sandaran yang baik, boleh rujuk panduan berkaitan ISMS, agak panjang untuk saya tulis di pos ini. Boleh rujuk MyCERT Alert dan Advisory yang saya letak dalam rujukan di bawah.
Anda juga boleh rujuk panduan dari No More Ransom Project di https://www.nomoreransom.org/ms/ransomware-qa.html dan juga https://www.nomoreransom.org/ms/prevention-advice.html
Rujukan:
https://www.mycert.org.my/portal/advisory?id=MA-661.052017
https://labsblog.f-secure.com/2017/04/18/ransomware-timeline-2010-2017/
https://en.wikipedia.org/wiki/Ransomware
http://blogs.cisco.com/security/talos/teslacrypt
https://blogs.sophos.com/2015/12/31/the-current-state-of-ransomware-ctb-locker/
https://nakedsecurity.sophos.com/2015/03/16/teslacrypt-ransomware-attacks-gamers-all-your-files-are-belong-to-us/
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
http://phishme.com/inside-look-dropbox-phishing-cryptowall-bitcoins/
http://www.forbes.com/sites/thomasbrewster/2016/02/18/ransomware-hollywood-payment-locky-menace
https://www.backblaze.com/blog/locker-cryptolocker-progeny-awakens/
ID Ransomware http://www.bleepingcomputer.com/forums/t/608858/id-ransomware-identify-what-ransomware-encrypted-your-files/
MA-591.042016: MyCERT Alert – Recent Threat of TeslaCrypt Ransomware
https://www.mycert.org.my/portal/advisory?id=MA-591.042016
MA-365.112013 : MyCERT Alert - Recent Threats of CryptoLocker Ransomware https://www.mycert.org.my/portal/advisory?id=MA-365.112013
MA-424.102014: MyCERT Advisory – Crypto Ransomware https://www.mycert.org.my/portal/advisory?id=MA-424.102014
ID Ransomware https://id-ransomware.malwarehunterteam.com/
https://blogs.technet.microsoft.com/mmpc/2016/05/26/link-lnk-to-ransom/
https://www.nomoreransom.org/ms/ransomware-qa.html
https://www.nomoreransom.org/ms/prevention-advice.html
1 ulasan:
Maklumat yang sangat berguna. Terima kasih kerana berkongsi. Hihi
Catat Ulasan