Ransomware, Reverse Engineering dan Backup

Cukup banyak yang bertanya ke saya mengenai ransomware, selain itu sering juga di group reverse engineering ada yang bertanya: saya kena ransomware (dengan scren capture layar permintaan tebusan), diteruskan dengan: apa yang harus saya lakukan? Tulisan ini akan berusaha menjawab kenapa sulit mengatasi ini, kenapa percuma meminta tolong ke group reverse engineering, dan kenapa sebaiknya Anda perlu membackup file Anda.

Ransomware

Ransomware adalah jenis malware (software jahat) yang memaksa Anda mengirimkan uang ke pembuatnya melalui berbagai cara. Cara yang saat ini paling banyak dipakai adalah mengenkripsi file Anda, lalu jika Anda mengirim uang tebusan, maka Anda akan dikirimi key atau program untuk membuka file Anda. 

Jawaban singkat untuk yang kena ransomware: cobalah ke situs No More Ransom. Jika Anda beruntung, file Anda bisa kembali. Jika tidak, maka harapannya sangat kecil. Coba juga search nama ransomwarenya (jika ada nama yang unik yang muncul di layar ransom) dan coba baca apakah sudah ada yang membuat tool gratis untuk membukanya. Bagian berikut artikel ini hanya ingin menjelaskan kenapa file Anda sulit kembali.

Alternatif lain: Anda bisa membayar tebusan, tapi perlu dicatat: Andaikan Anda membayar uang tebusan, belum tentu file Anda bisa kembali. Tidak ada jaminan dari para penjahat ini bahwa file Anda masih aman. Sebagian ransomware merusak file tanpa bisa dikembalikan dengan cara apapun (membayar atau pun cara lain).

Jika Anda beruntung, kadang sebagian file bisa dikembalikan dengan program untuk melakukan undelete/data recovery. Sebagian malware membuat file baru hasil enkripsi dari file lama, lalu kemudian menghapus file lama. Kadang kala file lama (yang belum dienkrip ini) bisa dikembalikan.

Tips paling utama adalah: backuplah data Anda, sehingga jika ada ransomware maka Anda bisa memformat disk, menginstall ulang OS dan merestore backup.

Reverse Engineering

Saat ini ada ribuan varian ransomware yang mengenkripsi file Anda. Sebagian ini ada yang menginfeksi jutaan komputer, sebagian lagi menginfeksi puluhan atau ratusan komputer saja. Sebagian dari ribuan varian malware ini ada yang berhasil ditemukan kelemahannya dan berhasil dibuat program untuk mengembalikan file tanpa harus membayar ke pembuat malwarenya. 

Bagaimana kelemahan berbagai metode enkripsi di ransomware bisa ditemukan? dengan melakukan Reverse Engineering (bisa dibaca apa itu Reverse Engineering dari tanya jawab di situs ini). Tapi tidak semua enkripsi bisa dibongkar, kadang harus brute force. Dalam kasus tertentu, terkadang key masih ada di memori jika komputer belum dimatikan dan mungkin bisa diekstrak.

Reverse engineering sebuah malware (atau ransomware pada khususnya) butuh waktu lama. Setelah berhasil dibongkar pun, kelemahannya belum tentu ada.  Meminta seseorang melakukan reverse engineering ransomware secara gratis, sama seperti minta tolong ke penyelam untuk secara gratis mengambilkan makanan Anda yang terjatuh ke laut: menyelam itu butuh tenaga, waktu, oksigen, dan kemungkinan makanan Anda sudah dimakan ikan.

Jika Anda ingin belajar membongkar ransomware, maka datang ke group reverse engineering adalah langkah yang tepat. Dari mulai meminta contoh malware, belajar teknik reverse engineering dsb. Tapi jika Anda terkena malware, maka yang harus dilakukan adalah langkah yang sudah saya sebutkan di atas: mencari informasi apakah malwarenya sudah ada yang membongkar dan membuat tool dekripsinya.

Ilmu reverse engineering itu seperti ilmu researcher yang sedang meneliti penyakit tertentu, bukan berfokus pada orang yang kena penyakit tertentu. Dalam kasus orang terkena penyakit (ransomware) maka dia akan pergi ke dokter (Google, administrator sistem, teknisi), yang akan memberi obat hasil penelitian researcher. Jika ternyata penyakitnya baru (ransomware baru) maka diperlukan riset yang tidak sebentar.

Berhati-hatilah ketika Online

Ransomware bisa berjalan di komputer Anda karena beberapa hal:

  • Ada bug di sistem operasi/browser/aplikasi sehingga ketika Anda mengunjungi situs tertentu atau membuka dokumen tertentu, otomatis ransomwarenya berjalan di komputer Anda
  • Ada malware menyebar dari komputer lain di jaringan (contoh kasus Wannacry). 
  • Anda tertipu sehingga menjalankan program ransomware. Tipuan ini biasanya berupa attachment yang tampak seperti dokumen.

Beberapa hal penting yang perlu diperhatikan adalah:

  • Backup data Anda
  • Updatelah sistem operasi dan software yang Anda pakai
  • Aktifkan antivirus (sekarang sudah built in di Windows)
  • Jangan mengunjungi situs-situs yang mencurigakan
  • Jangan tergiur berbagai macam hadiah yang tidak jelas
  • Jangan menginstall software yang tidak jelas
  • Hati-hati membuka file yang diterima dari siapapun

Backup

Selain masalah ransomware, kadang saya masih menemukan post di Facebook mengenai orang yang kehilangan laptop beserta semua datanya padahal semuanya sangat penting. Misalnya ada yang kerjaan kantor dan ada juga yang berisi data skripsi bertahun-tahun. Ini sangat menggemaskan karena sekarang membackup data sudah mudah sekali dilakukan dengan berbagai layanan online seperti DropBox, Google Drive, OneDrive, dsb. Di sini saya tidak akan membicarakan backup untuk kantor/enterprise, hanya sekedar backup data pribadi.

Semua layanan drive online punya aplikasi desktop dan mobile yang bisa mengotomasi upload file hanya ketika file tersebut berubah. Jika takut dengan masalah privasi (atau takut misalnya password layanan tersebut suatu hari jebol), kita bisa mengenkripsi file itu sebelum disimpan ke direktori yang di sinkronisasi ke cloud. Aplikasi seperti Word dan Excel juga punya fitur password, jadi file bisa diproteksi ekstra sebelum diupload ke cloud.

Meski menyimpan ke cloud sangat nyaman dan mudah, saya perlu memperingatkan bahwa penyedia jasa cloud bisa menghentikan layanannya kapan saja. Saya menuliskan ini setelah membaca kasus di mana seseorang kehilangan semua datanya di blogger. Ini terjadi terutama jika Anda bandel, misalnya sharing file yang dilindungi undang-undang HAKI (buku, film, app bajakan, dsb).

Hati-hati juga jika Anda suka sharing sesuatu yang bisa dianggap hate speech. Jangan sampai karena ingin menghina pemimpin atau tokoh tertentu, membuat account Anda jadi diblokir. Setidaknya jika memang ingin melakukan itu, pisahkan dari account utama Anda.

Dropbox

We also reserve the right to suspend or end the Services at any time at our discretion and without notice.

Google Drive

Google may also stop providing Services to you, or add or create new limits to our Services at any time.

OneDrive

You or Microsoft may terminate this Agreement immediately for any reason or no reason without notice

Meskipun kasus penutupan tiba-tiba ini relatif jarang, tapi ada banyak contoh yang bisa ditemukan di Internet. Bisa saja seseorang tidak suka pada Anda lalu melaporkan account Anda, dan tergantung orang yang menerima laporan tersebut, mungkin account Anda bisa diblok atau ditutup.

Jika mungkin, backuplah di berbagai layanan sekaligus, jadi jika ada masalah di satu layanan kita bisa memakai layanan yang lain. Saya tahu ini kadang ini tidak bisa karena kendala kuota internet, tapi lakukanlah untuk file-file super penting.

Saya sendiri memakai berbagai kombinasi backup offline dan online. Untuk file-file yang ada di desktop saya memakai layanan yang sudah umum (Google Drive, OneDrive dan Dropbox) serta memakai Backblaze. Bedanya dengan yang lain: Backblaze ini unlimited dan bisa membackup semua harddisk yang ada di komputer, tidak hanya folder tertentu. Untuk hal-hal yang berhubungan dengan development, saya punya server git personal dengan backup ke Amazon S3.

Backup online juga bisa menjadi target hacker. Sudah ada kejadian username/password Dropbox yang pernah bocor. Perlu diperhatikan juga bahwa fitur cloud kadang berbahaya di tangan peretas. Contohnya adalah kisah beberapa tahun lalu ketika seorang wartawan Wired diretas dan datanya dihapus secara remote dengan fitur security Apple.

Ini membawa saya ke topik berikutnya: buatlah backup offline untuk data super penting Anda. Backup offline ini maksud saya adalah yang non-cloud jadi bisa berupa NAS di rumah, atau bahkan sekedar USB disk.

20160221_145813

Harga USB disk 8 GB (sepertinya ini paling kecil saat ini) sudah sangat murah, di sini sekitar 100 baht (40 ribu rupiah). Jika Anda tidak menyimpan file super besar (seperti film), dan sekedar menyimpan dokumen skripsi/thesis, 8 gb sudah cukup. Kalau menurut Microsoft 5 GB saja sudah banyak:

OneDrive free with 5 GB: enough space for approximately 6,600 Office documents or 1,600 photos

Bahkan handphone yang Anda pegang juga bisa menjadi sarana backup. Jika tidak punya media backup lain, setidaknya copy lah file terpenting ke handphone. Jika filenya sangat penting (misalnya berisi password) maka file itu sebaiknya dienkrip (bahkan ponsel Android dan iOS sekarang sudah memiliki fitur enkripsi built in, jadi datanya cukup aman).

Tentunya jangan tempelkan terus USB-nya ke laptop Anda. Bagaimana jika laptopnya dicuri? hilang juga data backupnya. Backup sebaiknya berada di tempat terpisah (off site). Contoh kejadian yang mungkin terjadi adalah: kebakaran atau bencana lain. Seperti pernah diberitakan: seorang penulis nekat menerjang api untuk menyelamatkan laptopnya yang berisi novel yang ditulisnya.

Jangan lupa sesekali mengetes backup Anda, periksalah bahwa filenya bisa dibuka dan isinya benar, lengkap dan merupakan yang terbaru. Kalau tidak ingat untuk membackup setiap hari, dan bingung menggunakan software backup otomatis, minimal buatlah reminder di kalendar Anda tiap bulan. Andaikan ada masalah, setidaknya Anda nggak perlu mengulangi kerjaan skripsi dua tahun, tapi maksimum hanya sebulan terakhir.

Sebagai pembanding: jaman dulu backup data tidak mudah. Backup bisa dilakukan dengan floppy disk, tapi reliabilitasnya cukup rendah (atau yang cukup punya uang bisa memakai ZIP Drive). Layanan backup online juga belum seperti sekarang ini (teringat kisah pernah ada yang nekat nitip data di FTP kampus, tapi kemudian servernya diformat ulang jadi datanya hilang).

IMG_1190_d57bcd54aaab4b36e7fc2d722996a24a

Jika semua kemudahan sudah ada, tapi Anda tidak menggunakannya karena malas, maka jangan salahkan siapa-siapa selain Anda sendiri.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.