Evolusi Ransomware Bitcoin, Critroni dan TOR yang Canggih

Seorang yang sangat maju Bitcoin-berbasis ransomware trojan ditemukan oleh ahli keamanan bulan lalu. Ini adalah malware pertama dari jenis ini yang digunakan Jaringan TOR untuk berkomunikasi secara anonim dengan perintah pusat dan server kontrol.

Ransomware adalah sejenis malware yang cenderung memblokir akses ke sistem komputer tertentu yang menginfeksinya. Ini menuntut pengguna komputer untuk membayar tebusan kepada operator scam agar pembatasan itu hilang. Banyak trojan ransomware mencoba mengelabui pengguna agar membayar “denda” dengan mengklaim sebagai perangkat lunak yang diarahkan oleh otoritas hukum, secara keliru menuduh orang-orang memiliki pornografi anak, atau mengunduh konten bajakan.

Badware lain dari komputer keluarga ransomware mencari file yang disimpan oleh pengguna, seperti foto atau dokumen, kemudian menggunakan kriptografi untuk mengenkripsinya sehingga tidak lagi dapat diakses oleh orang yang menggunakan mesin yang terinfeksi. Ini adalah taktik yang mirip dengan yang digunakan Cryptolocker, trojan ransomware yang mencapai puncaknya tahun lalu. Operator Cryptolocker berhasil mengumpulkan Bitcoin senilai jutaan dolar sebelum FBI berhasil menghentikan operasi kriminal tersebut dengan menghancurkan server perintah dan kontrol yang digunakan Cryptolocker Kembali pada Mei 2014. 

“Critroni” yang menuntut Bitcoin adalah pakar ransomware paling canggih yang pernah ada

Dalam dekade terakhir, industri kriminal ransomware telah mengalami pertumbuhan besar. Dari pemblokir layar sederhana yang membutuhkan pembayaran untuk dihapus, hingga badware yang menggunakan teknologi canggih untuk memaksa orang membayar tebusan mereka. Ransomware sekarang mencapai puncaknya, dengan trojan zaman baru menggunakan apa yang disebut penyandian. Program yang akan mengenkripsi file pengguna dan menuntut pembayaran agar penyumbatan file hilang dan file didekripsi. Beberapa contoh trojan tersebut adalah CryptoLocker, CryptoDefence, CryptoWall, ACCDFISA, dan GpCode tetapi juga banyak perangkat lunak fundamental serupa yang kurang dikenal yang telah menyebar di seluruh Rusia. Trojan yang baru ditemukan, Critroni, diaktifkan pada pertengahan Juni 2014. Sejak itu telah diiklankan di berbagai forum bawah tanah. Ini dideskripsikan sebagai generasi baru ransomware Bitcoin, dan tidak mirip dengan leluhurnya. Diketahui bahwa malware baru yang disebut menggunakan teknik yang belum pernah digunakan oleh malware lain.

Salah satu fitur uniknya adalah bahwa Critroni menggunakan jaringan TOR anonim untuk berkomunikasi dengan server perintahnya secara anonim. Komputer yang terinfeksi olehnya sebenarnya berkomunikasi dengan server perintah pusat ransomware melalui TOR. Dengan cara ini, ia dapat mengirim kunci yang disimpan di server setelah tebusan Bitcoin dibayarkan, dan kunci ini adalah satu-satunya kesempatan bagi pengguna mesin yang terinfeksi untuk mendekripsi file mereka..

Critroni (juga dikenal sebagai CTB-Locker) mungkin bukan perangkat lunak perusak pertama yang menggunakan TOR untuk menyembunyikan akarnya, tetapi ini tentu pertama kalinya kami melihat ransomware melakukannya. Namun, itu bukanlah keuntungan terbesar yang dimiliki Critroni. Critroni juga merupakan malware pertama yang menggunakan kode TOR yang disematkan langsung di file miliknya sendiri daripada mengandalkan perangkat lunak bundel TOR yang sah untuk menyelesaikan komunikasi. 

Critroni juga menggunakan salah satu yang paling aneh, namun efektif, skema enkripsi yang digunakan ransomware untuk memblokir akses pengguna ke file. Data pertama kali dikompresi menggunakan algoritma enkripsi ECDH (Elliptic Curve Diffie-Hellman). Berbeda dengan kombinasi algoritme yang paling umum digunakan antara ransomware AES dan RSA, ECDH tidak akan mengizinkan data pengguna didekripsi bahkan jika koneksi antara komunikasi virus dengan server perintah dihentikan. Dengan cara ini praktis membuat pembayaran tebusan (biasanya hingga) 0,4 Bitcoin satu-satunya cara bagi pengguna untuk memulihkan file terenkripsi.

Bagaimana ransomware Bitcoin ini menyebar

Dalam versi awalnya, critroni menargetkan pengguna berbahasa Inggris. Oleh karena itu bahasa Inggris adalah satu-satunya bahasa dalam program tersebut. Di beberapa versi yang lebih baru, bahasa Rusia juga mulai didukung di samping bahasa Inggris. Pembaruan baru juga membawa penghitung waktu mundur ke GUI. Dengan cara ini memberi pengguna peringatan waktu dalam upaya mengintimidasi mereka. 

Gambar di bawah secara kasar menggambarkan bagaimana perangkat lunak berbahaya menginstal dan menyebarkan dirinya sendiri. Pertama, bot Andromeda mengunduh dan menjalankan alat bernama Joleee. Alat berbahaya ini dapat mengirimkan email spam serta menjalankan perintah yang diterima dari penjahat dunia maya. Jolee-lah yang mengunduh encryptor ke komputer yang terinfeksi.

Propagasi CritroniSkema propagasi Critroni (Gambar dari securelist.com securelist.com)

Pembayaran Bitcoin dan TOR

Tidak sulit untuk melihat bahwa pembuat virus berusaha keras untuk tetap anonim. Mereka punya alasan bagus untuk itu, dan itu bukan hanya karena apa yang mereka lakukan dianggap sebagai aktivitas kriminal. Dengan membuat perangkat lunak mereka menggunakan jaringan anonim, mereka juga berkontribusi agar ransomware mereka memiliki masa pakai yang lebih lama. Seperti yang disebutkan sebelumnya, pada bulan Mei FBI berhasil menutup ransomware encryptor lain yang disebut Cryptolocker. Mereka berhasil melacak server mereka dan mematikannya. Ini bisa menjadi lebih sulit dengan kasus Critroni karena menerima perintah melalui TOR. Kombinasi penyematan TOR, dan pembayaran Bitcoin, telah memungkinkannya menjadi yang teratas dalam anonimitas pendahulunya.

Critroni Menjelaskan BitcoinMalware bahkan akan mencoba memberi petunjuk kepada pengguna tentang cara membeli bitcoin.

Rekomendasi tentang cara tetap aman, dan menyimpan Bitcoin Anda

Memiliki perangkat lunak keamanan seperti antivirus yang diaktifkan dan diperbarui dapat menjadi sangat penting. Namun itu bukanlah solusi akhir baris.

Cara terbaik untuk memastikan file Anda akan aman adalah dengan membuat cadangan Anda sendiri, dan ransomware bukan satu-satunya alasan Anda harus melakukannya. Anda tidak boleh menyimpan file yang penting bagi Anda hanya di satu tempat. Kemungkinan besar file pribadi yang penting tidak mengambil bagian besar dari hard drive Anda. Membuat cadangan offline, ke drive eksternal atau stik USB, tidaklah sulit dan merupakan cara yang dapat diandalkan untuk membuat cadangan yang aman. Apa yang harus Anda ingat saat membuat cadangan, adalah bahwa perangkat penyimpanan tidak boleh langsung terhubung ke internet. Baik itu USB, hard drive eksternal, atau floppy disk, terus-menerus tersambung ke komputer pribadi Anda dengan akses internet akan membuatnya rentan terhadap enkripsi ransomware seperti penyimpanan hard drive utama Anda. Penyimpanan online juga baik-baik saja, tetapi tidak ada yang dapat menjamin keberadaannya dalam jangka panjang.

Selain itu, meskipun ransomware ini mengenkripsi file dengan cara yang berbahaya, selalu merupakan ide yang baik untuk secara pribadi mengenkripsi file sensitif, atau berharga, seperti dompet Bitcoin. Ini akan mempersulit perangkat lunak perusak, atau peretas, untuk berhasil mencuri file Anda dengan cara yang dapat digunakan.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me