Locky ransomware: semua yang perlu Anda ketahui

Apa itu Ransomware Locky?

Locky ransomware terutama mempengaruhi perangkat Windows. Serangan dimulai dengan email phishing yang menipu Anda agar mengunduh malware, dan diikuti dengan Trojan yang mengenkripsi file Anda dan meminta pembayaran uang tebusan sebagai imbalan untuk mendekripsinya.

Seperti bentuk ransomware lainnya, peretas akan meminta Anda mengirimi mereka mata uang kripto. Dan jika file Anda berharga, seperti dokumen kerja yang sensitif, Anda mungkin tergoda untuk membayarnya. Sayangnya, Anda berurusan dengan penjahat dunia maya. Anda mungkin tidak akan pernah mendapatkan kembali file Anda meskipun Anda mengirimkan uang kepada mereka.

Bagaimana cara kerja ransomware Locky?

Serangan ransomware Locky menggabungkan beberapa teknik peretasan – botnet, phishing, rekayasa sosial, dan kode berbahaya. Serangan Locky asli terdiri dari langkah-langkah berikut:

1. pengelabuan. Botnet Necurs mendistribusikan jutaan email spam dengan lampiran dokumen Microsoft Word. Email tersebut menyatakan bahwa dokumen terlampir adalah faktur atau file bersama serupa.
2. Perkembangan sosial. Saat korban mengunduh dan membuka dokumen, mereka melihat karakter acak dan omong kosong. Teks di atas omong kosong mengatakan untuk mengaktifkan makro jika penyandian data tampaknya salah.
3. unduhan malware. Setelah korban mengaktifkan makro, skrip jahat mengunduh dan menjalankan file yang dapat dieksekusi – trojan ransomware.
4. Enkripsi File. Trojan ransomware mengenkripsi file yang cocok dengan ekstensi yang telah ditentukan menggunakan kunci AES 128-bit dan enkripsi kunci RSA 2048-bit. Itu hanya mengenkripsi file data seperti dokumen dan foto dan bukan file aplikasi yang dapat dieksekusi. File terenkripsi mendapatkan ekstensi .locky.
5. permintaan tebusan. Setelah enkripsi, korban menemukan pesan teks biasa yang mengumumkan bahwa file mereka telah dienkripsi, dan catatan tebusan yang sama muncul sebagai wallpaper komputer mereka. Pesan tersebut menjelaskan langkah-langkah yang perlu Anda ambil untuk memulihkan file yang terkunci. Langkah-langkahnya termasuk menggunakan browser Tor untuk mengunjungi situs web peretas di web gelap untuk informasi lebih lanjut dan membayar uang tebusan dalam mata uang kripto sebagai ganti kunci enkripsi. Peretas memberikan ID serangan mereka kepada korban untuk digunakan setelah membayar kunci dekripsi.

Dari mana datangnya serangan ransomware Locky?

Serangan ransomware Locky dimulai pada Februari 2016. Peneliti keamanan siber sejak itu menghubungkan ransomware Locky dengan grup peretas terkenal Rusia, Evil Corp. terhubung. Grup tersebut bertanggung jawab atas botnet Necurs yang mendistribusikan ransomware Locky, beberapa variannya, dan malware lainnya termasuk Trojan perbankan Dridex. Grup ini juga bertanggung jawab atas serangan TrickBot.

Salah satu target ransomware Locky utama pertama adalah sebuah rumah sakit di Los Angeles. Rumah sakit setuju untuk membayar uang tebusan $17.000 untuk menyelesaikan peretasan. Para penyerang meraih kemenangan dan terus menyerang fasilitas kesehatan lainnya.

Siapa penargetan ransomware Locky?

Sasaran utama ransomware Locky adalah fasilitas kesehatan. Peretas dengan cepat menemukan bahwa praktik penyimpanan data rumah sakit sudah ketinggalan zaman. Banyak operasi rumah sakit terpengaruh, database dan catatan pasien elektronik dienkripsi dan staf dikunci dari sistem – dan mereka merasa tidak punya pilihan selain membayar uang tebusan.

Ransomware Locky juga menargetkan industri lain termasuk telekomunikasi, transportasi, manufaktur, dan berbagai penyedia layanan.

Varian dari ransomware Locky

Ransomware Locky adalah hit besar bagi peretas, menelurkan banyak varian dan klon ransomware Locky.

• PowerLocky. PowerLocky menggabungkan Locky dan ransomware PowerWare tanpa file. Ditulis dalam PowerShell, itu menggunakan email phishing yang sama dan ekstensi file terenkripsi seperti Locky. Itu aktif pada musim panas 2016 dan sekarang program gratis tersedia untuk mendekripsi file yang dienkripsi oleh PowerLocky.
• Diablo. Diablo dirilis pada pertengahan 2016 dan menggunakan ekstensi file yang berbeda, .diablo6, untuk file terenkripsi. Email spam Diablo memiliki lampiran ZIP, dan ransomware memperkenalkan beberapa perubahan pada metode enkripsi untuk menambahkan trik anti-analisis yang lebih canggih dan mencegah deteksi.
• cepto. Zepto ransomware dirilis pada Juni 2016. Sebagian besar menggunakan teknik yang sama dengan ransomware Locky. Email tersebut berisi nama depan korban di badan dan lampiran ZIP yang berisi file JavaScript yang dapat dieksekusi. Setiap file terenkripsi akan mendapatkan ekstensi .zepto.
• Odin. Odin mengikuti Zepto dengan kampanye spam pertamanya pada September 2016, sebagian besar menargetkan pengguna AS. File terenkripsi diberi ekstensi .odin, jika tidak, ransomware mengikuti perilaku Locky standar.
• Osiris. Osiris dirilis pada akhir 2016. Ini menampilkan algoritme enkripsi baru dan menggunakan ekstensi .osiris untuk file terenkripsi. Penyerang menggunakan spam dan malvertising untuk menyebarkan kode berbahaya. Mereka juga menerapkan protokol komunikasi perintah dan kontrol yang lebih kompleks, membuatnya lebih sulit untuk mendeteksi dan mematikan infrastruktur yang mendukung ransomware. Selain Windows, Osiris juga akan menginfeksi perangkat Android dan macOS.
• Thor. Versi ransomware Locky ini diidentifikasi pada awal 2017. Itu memulai kampanye spam besar-besaran untuk mendistribusikan lampiran ZIP. Thor, seperti varian Locky lainnya, menggunakan ekstensi file yang berbeda (.thor) untuk file terenkripsi. Teknik kebingungan kode juga telah digabungkan untuk mempersulit pendeteksian bagi peneliti keamanan siber.
• Kunci keluar. Dinamakan setelah kata Finlandia “Lukittu” (artinya: diblokir) muncul pada musim panas 2017. Penyerang menggunakan catatan tebusan yang berbeda dan mendistribusikan ransomware melalui lampiran PDF di email spam. File terenkripsi memiliki ekstensi .lukitus.

Beberapa kampanye ransomware Locky lainnya mengikuti modus operandi Locky ransomware asli dan hanya menggunakan ekstensi berbeda untuk file terenkripsi, seperti . Misalnya ekstensi aesir, .asasin, .loptr, .shit, .ykcol, dan .zzzzz.

Cara mendeteksi ransomware Locky

Cara terbaik untuk mengenali ransomware Locky adalah mempelajari cara menemukan email phishing dan teknik rekayasa sosial. Email spam Locky berisi beberapa petunjuk yang jelas – tetapi hanya terlihat jika Anda tahu apa yang harus diwaspadai.

• Pengirim. Email berasal dari alamat email dan domain acak.
• Bahasa. E-mail memiliki tata bahasa yang dipertanyakan dan ditujukan kepada penerima dengan “Dear Sir or Madam”. Beberapa email tidak berisi teks di luar baris subjek dan lampiran.
• catatan email. Lampiran yang terinfeksi biasanya disamarkan sebagai faktur, kwitansi, atau dokumen sensitif lainnya yang mungkin dirasa mendesak oleh penerima.

Setelah Locky ransomware menginfeksi perangkat, itu tidak bersembunyi. Anda akan melihat berbagai ekstensi yang ditetapkan ke file Anda, catatan tebusan muncul di dokumen Anda, dan pesan dari peretas akan menjadi wallpaper baru Anda.

Bagaimana menghapus Locky ransomware

Karena ransomware Locky asli dan sebagian besar variannya kini sudah usang, sebagian besar solusi anti-malware dapat menghapus Locky dari perangkat Anda.

Namun, menghapus ransomware tidak akan memulihkan data dan file Anda menjadi normal. Beberapa program gratis dapat mendekripsi file yang terpengaruh oleh varian Locky, tetapi tidak berfungsi untuk semua ekstensi Locky. Anda dapat mencari program dekripsi secara online, menentukan ekstensi file dari file yang dienkripsi. Namun, pastikan untuk mengunduhnya dari sumber yang memiliki reputasi baik sehingga Anda tidak secara tidak sengaja mengunduh perangkat lunak perusak lainnya.

Bagaimana mencegah Locky dan ransomware lainnya

Contoh-contoh Locky dan ransomware lainnya menunjukkan kepada kita betapa berbahaya dan mahalnya serangan ransomware. Oleh karena itu, jauh lebih bijaksana untuk bersikap proaktif dan mengambil tindakan pencegahan daripada menangani konsekuensinya.

Inilah cara Anda dapat mencegah Locky, variannya, dan serangan ransomware lainnya:

• Biasakan diri Anda dengan teknik rekayasa sosial. Pelajari cara mengenali dan menghindari email phishing, situs web palsu, dan potensi taktik rekayasa sosial.
• Selalu perbarui sistem operasi dan perangkat lunak Anda. Terapkan tambalan dan pembaruan keamanan rutin ke sistem operasi, browser web, perangkat lunak antivirus, dan aplikasi lainnya. Ransomware sering mengeksploitasi kerentanan dalam perangkat lunak usang untuk menyebar.
• Jangan pernah mengunduh atau membuka lampiran atau tautan dari email yang tidak Anda harapkan. Hanya unduh lampiran atau klik tautan di email jika Anda yakin itu sah.
• Aktifkan filter spam. Filter spam di klien email Anda dapat mengurangi kemungkinan menerima email jahat dan meningkatkan keamanan email Anda secara keseluruhan.
• Nonaktifkan skrip makro. Sebagian besar serangan Locky menggunakan makro jahat untuk mengunduh ransomware. Oleh karena itu, konfigurasikan suite kantor Anda untuk menonaktifkan makro secara default. Selain itu, hanya aktifkan makro di Word, Excel, atau format dokumen lain jika Anda memercayai sumbernya dan telah memverifikasi keabsahannya.
• Cadangkan data Anda. Cadangkan file dan data penting Anda ke penyimpanan offline atau cloud yang tidak dapat Anda akses dari komputer. Jika terjadi serangan ransomware, pencadangan memastikan bahwa Anda dapat memulihkan data tanpa membayar uang tebusan.
• Aktifkan ekstensi file. Secara default, ekstensi file mungkin tidak terlihat di sistem operasi Anda. Jika Anda mengaktifkan ekstensi file, Anda dapat melihat nama lengkap file dan mengidentifikasi jenis file yang berpotensi berbahaya. Ini dapat membantu Anda mendeteksi lampiran berbahaya dan mencegahnya dibuka.
• Gunakan firewall. Firewall yang dikonfigurasi dengan benar dapat membantu Anda memantau lalu lintas jaringan masuk dan keluar, memblokir upaya akses tidak sah, dan mencegah ransomware berkomunikasi dengan server perintah dan kontrol Anda.
• Dapatkan perlindungan malware yang kuat. Instal perangkat lunak keamanan terkemuka dan biarkan memindai file yang ingin Anda unduh untuk perlindungan waktu nyata. Anti-malware seperti Perlindungan Ancaman NordVPN dapat mendeteksi dan memblokir ransomware dalam unduhan baru dan ancaman jahat lainnya sebelum menginfeksi perangkat Anda.