Digitalmania – Sepanjang 2016 dunia dipenuhi oleh pemberitaan seputar ransomware, korban yang berjatuhan dan pergolakan pertempuran antara pakar keamanan cyber menghadapi serangan hacker yang semakin menjadi-jadi. Ransomware telah menjadi biang kerok yang membuat semua orang kelabakan, sebagai ujung tombak baru di dunia kejahatan, malware berbahaya ini dapat bertahan dan terus berkembang, seperti yang baru ditemukan yaitu ransomware yang disebut Maktub Locker.
Maktub Locker memberi batas waktu untuk pembayaran tebusan, jika batasan itu dilanggar, jumlah tebusan akan bertambah dua kali lipat, Maktub saat ini tidak menggunakan ekstensi statis untuk file terenkripsi, melainkan memberikan ekstensi acak untuk setiap korban.
Maktub Locker menarik perhatian karena bagaimana mereka begitu detil dalam memaparkan metode pembayaran dalam situs mereka. Dalam sampel yang dianalisis, ransomware ini menyebar sebagai executable dengan ekstensi .SCR dalam email attachment yang berpura-pura sebagai update dokumen Terms of Service yang apabila dibuka akan mengaktifkan ransomware tersebut. Contoh nama file untuk attachment ini adalah TOS-update-2016-Marth-18.scr.
Ketika ransomware diluncurkan, ia akan menampilkan dokumen Word yang berlagak seperti update Term of Use, Di saat yang sama ransomware secara diam-diam mulai mengenkipsi data pada komputer korban.
Ketika Maktub selesai mengenkripsi data, selanjutnya ia akan memberikan tampilan ransom note berjudul _DECRYPT_INFO_[random].html, seperti yang terlihat dibawah:
Ini sudah menjadi standar bagi ransomware dengan menampilkan permintaan tebusan, tapi sekali lagi yang menarik dari Maktub bukan pada penyebaran dan infeksinya karena modus operandi mereka sudah sangat umum digunakan seperti ransomware lainnya. Namun sajian yang mereka berikan untuk detil situs TOR dekripsi mereka lain daripada yang lain.
Situs dekripsi dibagi menjadi lima halaman, dimana setiap halaman berisi tema artistik tersendiri. Tampilan artistik yang sepertinya tidak dirancang oleh pengembang ransomware, sebagaimana logo mereka diambil dari seorang desainer di Deviant Art.
Cara Menghapus Maktub Locker
Langkah 1
User Windows XP dan Windows 7: Start komputer Anda dalam Safe Mode. Klik Start, Klik Shut Down, klik OK. Selama komputer dalam masa proses start, tekan tombol F8 pada keyboard beberapa kali sampai melihat jendela opsi menu, dan kemudian dari daftar pilih Safe Mode with Networking.
User Windows 8: Start Windows 8 dengan Safe Mode with Networking, lalu ke Windows 8 Start Screen, ketik Advance, dalam hasil pencarian pilih Setting, klik Advance Startup option, dalam jendela terbuka “General PC Settings”. Pilih Advance Startup. Klik tombol “Restart now”. Komputer sekarang akan restart kedalam “Advanced Startup options menu”. Klik tombol “Troubleshoot”. kemudian klik “Advance options”. Dalam layar advance option klik “Startup setting”. Kilik “Restart”. PC akan restart kedalam layar Startup Setting. Tekan F5 untuk boot dalam Safe Mode with networking.
Langkah 2
Login ke akun terinfeksi virus Maktub. Mulai browsing di internet dan download program anti spyware legitimate, update software antispyware dan mulai memindai sistem keseluruhan, hapus semua entri terdeteksi. Jika tidak bisa memulai komputer dari Safe Mode with Networking, coba lakukan System Restore.
- Selama komputer dalam proses start, tekan tombol F8 pada pada keyboard beberapa kali sampai muncul opsi menu Windows Advance, kemudian pilih Safe Mode dengan Command Prompt dari daftar tekan ENTER.
- Ketika mode Command Prompt dimuat, ketik cd restore dan tekan Enter.
- Berikutnya ketik rstrui.exe dan tekan Enter.
- Pada jendela yang terbuka klik “Next”.
- Pilih salah satu Restore Points dan klik next, ini akan restore sistem komputer ke waktu dan tanggal sebelum ransomware Maktub menyusup ke PC.
- Dalam jendela yang terbuka klik “Yes”
- Setelah memulihkan komputer ke tanggal sebelumnya, download dan scan komputer dengan software keamanan untuk menghapus setiap file Maktub yang tersisa.
Untuk mengembalikan file individual yang terenkripsi oleh ransomware, coba gunakan fitur Windows versi sebelumnya. Metode ini hanya efektif jika fungsi System Restore telah diaktifkan pada sistem operasi yang terinfeksi. Sebagai catatan, varian Maktub diketahui menghapus file Shaddow Volume Copies, jadi metode ini mungkin tidak akan bekerja pada semua komputer.
Untuk memulihkan file, klik kanan pada fitur tersebut, lalu ke properties, pilih versi tab sebelumnya. Jika file yang bersangkutan memiliki restore point, pilih itu dan klik tombol restore.
Apabila komputer tidak bisa di start dalam Safe Mode with Networking (atau dengan Command Prompt), boot komputer menggunakan rescue disk. Beberapa varian ransomware mampu menonaktifkan Safe Mode sehingga mempersulit prose penghapusan virus. Untuk langkah ini, dibutuhkan akses ke komputer lain.
Untuk mendapatkan kembali kontrol file yang dienkripsi oleh Maktub, bisa juga menggunakan program yang disebut Shaddow Explorer.
Sebagai bagian perlindungan menyeluruh terhadap komputer dari ransomware yang mengenkripsi file seperti Maktub, ESET menyarankan agar menggunakan produk-produk software keamanan yang sudah teruji kemampuannya di dunia, seperti produk ESET Secure Business atau ESET Secure Enterprises yang kehandalannya sudah terbukti dan telah meraih banyak penghargaan dari dunia internasional. Digitalmania. (AN)