Bisnis.com, JAKARTA--Kasperky Lab telah mendeteksi adanya perilaku ganjil dalam ancaman terbaru dari kelompok ransomware enkriptor,TeslaCrypt. Versi 2.0 dari Trojan yang terkenal menginfeksi komputer para gamer ini, memperlihatkan halaman HTML diweb browser yang merupakan salinan dari CryptoWall 3.0, program ransomware lain yang juga terkenal kekejamnya.
Kemungkinan pelaku ancaman melakukan ini sebagai sebuah bentuk pernyataan: sejauh ini, masih banyak berkas komputer yang dienkripsi oleh CryptoWall tidak dapat didekripsi, tidak seperti kasus-kasus infeksi TeslaCrypt yang lalu. Setelah infeksi sukses, program jahat ini menuntut tebusan sebesar US$500 untuk kunci dekripsi; bila korban menunda, jumlah tebusan bertambah dua kali lipat.
Kasus awal dari TeslaCrypt terdeteksi pada Februari 2015 dan ransomware Trojan baru ini langsung memperoleh reputasi sebagai ancaman berbahaya bagi para komputer gamer. Di antara tipe berkas yang menjadi targetnya, TeslaCrypt mencoba untuk menginfeksi berkas gaming khusus: game saves, profil pengguna, rekaman ulangan adegan, dan sebagainya.
Namun demikian, TeslaCrypt tidak dapat mengenkripsi berkas yang ukurannya lebih besar dari 268MB. Mekanisme infeksi terjadi ketika TeslaCrypt membuat alamat Bitcoin baru dan unik untuk mendapatkan uang tebusan dan kunci rahasia untuk menarik uang tersebut. Server C&C TeslaCrypt berlokasi di dalam jaringan Tor. Trojan versi 2.0 ini menggunakan dua set kunci: satu set unik dan berada dalam sistem yang terinfeksi, sedangkan satu set lainnya dibentuk berulang kali setiap program di-relaunch dalam sistem.
Selain itu, kunci rahasia yang digunakan untuk mengenkripsi berkas pengguna tidak disimpan dalam hard drive, sehingga membuat proses dekripsi menjadi jauh lebih rumit. Program dari kelompok malware TeslaCrypt ketika diamati menyebarluas melalui exploit kit Angler, Sweet Orange, dan Nuclear.
Dalam mekanisme penyebaran malware ini, korban mengunjungi situs yang terinfeksi dan kode program ini memanfaatkan kerentanan browser, biasanya dalam plugins, untuk memasang malware di komputer target. “TeslaCrypt, pemburu para gamer, didesain untuk menipu dan mengintimidasi pengguna. Misalnya, versi sebelumnya menampilkan pesan kepada korban yang mengatakan bahwa berkas mereka dienkripsi oleh RSA-2048 encryption algorithmyang terkenal itu, dan kemudian mendemonstrasikan bahwa tidak ada pilihan lain selain membayar tebusan.
Kenyataannya, penjahat cyber ini tidak menggunakan algoritma tersebut. Di modifikasinya yang terbaru, TeslaCrypt meyakinkan korban bahwa mereka berurusan dengan CryptoWall – apabila berkas pengguna terenkripsi olehnya, tidak ada jalan untuk mendekripsikan berkas tersebut. Namun, semua link yang mengacu pada server TeslaCrypt– tampaknya, pembuat malware ini tidak berniat untuk memberikan uang dari korban mereka ke kompetitor,” ujar Fedor Sinitsyn, analis malware senior di Kaspersky Lab.
Rekomendasi kepada pengguna agar terbebas dari virus tersebut adalah pertama,Buat salinan cadangan dari berkas penting Anda secara berkala. Salinan harus disimpan dalam media yang dapat dilepaskan secara fisik segera setelah penyalinan selesai. Kedua, Sangat penting untuk meng-update software Anda tepat waktu, terutama browser dan plugins. Ketiga, Apabila masih ada program jahat yang mendarat di sistem Anda, sebaiknya segera diserahkan ke produk keamanan terbaru dengandatabase yang sudah di-update dan modul keamanan telah aktif.