Cryptography Ransomware
Crypto ransomware semakin pintar. Bagi siapa pun yang menentangnya, ada baiknya mengetahui opsi yang tersedia untuk penulis malware dan bagaimana mereka mungkin tersandung atau dibelokkan. Ini adalah jenis kejahatan baru yang menarik, yang diaktifkan oleh kriptografi asimetris, sistem blok-rantai, jaringan botnet yang besar, dan fakta bahwa tidak peduli seberapa banyak yang kita inginkan, perangkat lunak yang menggerakkan perangkat komputasi kita selalu memiliki bug yang dapat dieksploitasi.
Bagaimana cara kerjanya?
Kriptografi bukanlah keharusan mutlak untuk ransomware, tapi itu
satu-satunya cara untuk mendekati serangan pemerasan layanan yang tidak dapat
dipecahkan.
Meskipun demikian, rekayasa sosial dan titik harga yang dipilih dengan baik
dapat membuat bahkan ransomware non-kriptografi ("locker ransomware"
atau "lockerware"] menjadi alat yang efektif. Lockerware akan
mengalihkan komputer dari operasi normalnya dengan mengendalikan sumber daya
kritis, mungkin dengan mengenkripsi dan mengganti sumber daya itu, dan kemudian
menampilkan pandangan yang tampaknya tidak dapat dihindarkan dari permintaan
untuk pembayaran. Permintaan mungkin tampak berasal dari lembaga penegak hukum.
Beberapa kunci-erware menggunakan teknik Javascript sederhana untuk
mengendalikan browser, sekali lagi dengan permintaan tebusan. Jika tebusan
dibayarkan, pengguna harus menerima instruksi tentang cara mendapatkan kembali
kendali atas komputer atau browsernya.
Dari perspektif teknologi, ransomware yang sukses harus memenuhi beberapa
persyaratan penting.
1.Beberapa sumber daya yang berharga bagi pengguna harus dibuat tidak
tersedia (penolakan layanan).
2.Penolakan sumber daya dan instruksi pembayaran harus diumumkan kepada
pengguna mesin yang tertimpa bencana dalam proses yang tidak dapat dihindari
dan terlihat.
3.Kemampuan untuk memulihkan sumber daya yang berharga harus bergantung
pada sejumlah kecil data yang hanya tersedia untuk pemeras dan tidak dapat disimpulkan
atau dihitung oleh proses lain dengan biaya yang wajar.
4.Pemeras harus dapat memverifikasi pembayaran.
5.Pemeras harus dapat menerima pembayaran dan menyediakan informasi untuk
memulihkan sumber tanpa mengidentifikasi dirinya.
6.Proses restorasi harus berjalan pada komputer yang terkena, harus mudah
digunakan, dan restorasi harus cukup andal.
Kriptografi kunci publik menyediakan sarana untuk mencapai
persyaratan, Sebagian besar ransomware memperdagangkan keamanan untuk
kinerja, dan ini memberikan kemampuan untuk mengenkripsi lebih banyak data file
pengguna sebelum terdeteksi.
Hanya Kunci Simetris
Jika setiap instance virus menggunakan kunci enkripsi simetris unik untuk
pekerjaan kotornya, dan jika ia menghancurkan kunci itu setelah menggunakannya,
maka pemulihan file akan hampir mustahil. Satu-satunya masalah adalah bahwa
pemeras harus tahu apa kunci itu untuk melepaskan file korban. Dengan demikian,
mesin korban harus memegang beberapa data yang memungkinkan pemeras tahu kunci
mana yang digunakan untuk korban itu. Entah bagaimana, harus ada komunikasi
antara pemeras dan mesin korban.
Malware dapat memulai komunikasi itu sebelum memulai pekerjaannya, atau
dapat dilakukan ketika selesai mengenkripsi. Dalam kasus sebelumnya, malware
menghubungi pemeras dan menerima kunci enkripsi simetris dan pengidentifikasi
kunci. Dalam kasus terakhir, malware menghasilkan kunci simetris acak dan
pengidentifikasi acak dan mengirimkannya ke pemeras. Dalam kedua kasus, setelah
mengenkripsi file, malware menghancurkan kunci enkripsi tetapi mempertahankan
pengidentifikasi kunci. Jika korban membayar tebusan dan mengomunikasikan
pengenal kepada pemeras, pemeras akan dapat mengirim kunci enkripsi yang
sesuai.
jika mesin korban tidak terhubung ke Internet, maka serangan ini mungkin
gagal untuk memulai, atau mungkin gagal untuk meninggalkan cara apa pun bagi
korban untuk memulihkan datanya. Setelah kunci simetris dihapus, kita hanya
bisa berharap bahwa pemeras sebenarnya memiliki kunci dan pengidentifikasi kunci!
Meskipun skema ini merupakan inti dari semua crypto ransomware, seperti
dijelaskan di sini, skema ini memiliki kelemahan serius. Siapa pun yang
mengamati komunikasi antara malware dan pemeras akan dapat melihat kunci
simetris. Mungkin muncul dalam log lalu lintas jaringan, baik secara lokal atau
pada monitor jaringan di jalur komunikasi. Namun, jika korban tidak memiliki
akses ke pesan, metodenya cukup baik.
Kunci Publik Master Tertanam
Dengan menggunakan kriptografi
kunci publik, ransomware dapat menghindari keharusan berkomunikasi langsung
dengan pemeras. Sejauh ini, ini adalah cara paling sederhana untuk
mengimplementasikan ransomware. Metode ini mirip dengan yang ada di bagian
sebelumnya, tetapi dengan perbedaan penting: malware memiliki kunci publik
pemeras yang tertanam dalam perangkat lunaknya.
Malware dimulai dengan membuat
kunci acak untuk enkripsi simetris. Setelah mengenkripsi file korban, malware
menggunakan kunci publik yang tertanam untuk mengenkripsi kunci tebusan acak.
Jika malware tidak meninggalkan jejak kunci simetris, maka kunci acak
terenkripsi berfungsi sebagai pengidentifikasi kunci. Setelah membayar uang
tebusan, korban mengirim kunci terenkripsi ke pemeras atau mempublikasikannya
di tempat yang telah disepakati sebelumnya. Pemeras akan menggunakan kunci
pribadinya untuk membuka kunci simetris acak, dan ia dapat mengirimkannya
kepada korban atau mempublikasikannya di tempat yang telah disepakati
sebelumnya.
Metode ini hanya memiliki dua kelemahan. Salah satunya
adalah bahwa kunci simetris mungkin terlihat jika korban yang mencurigakan
membuang memori saat enkripsi aktif. Masalah lainnya adalah bahwa jika pemeras
entah bagaimana membocorkan nilai kunci pribadi, maka semua korban dapat
menggunakannya untuk memulihkan data mereka dengan mendekripsi kunci simetris
terenkripsi secara lokal mereka. Bahkan, seorang pemeras mengakhiri rencananya
dengan menerbitkan kunci pribadi
Publik Unik untuk Setiap Mesin Virtual Malware
Dengan menambahkan satu pesan pulang pergi, ransomware dapat menghindari
ketergantungan pada satu kunci publik. Meskipun sebagian besar ransomware
menggunakan kunci publik yang tidak dapat "rusak" dalam skenario
komputasi yang masuk akal, tetap saja, satu kunci publik hanya satu lapisan
perlindungan untuk pemeras.
Jika malware mengirim pesan permintaan ke layanan pesan pemeras, seperti
situs web yang dikompromikan yang menyediakan anonimitas bagi para penjahat,
maka pusat perintah dan kontrol untuk ransomware dapat mengirim kembali kunci
publik yang baru dihitung. Malware di komputer korban akan mengenkripsi kunci
simetris menggunakan kunci publik. Kunci publik itu sendiri berfungsi sebagai
pengidentifikasi untuk digunakan saat membayar uang tebusan. Perangkat lunak
pemeras akan menemukan kunci pribadi yang cocok dan mengirimkannya kepada
korban.
Varian yang menarik pada metode ini memungkinkan malware untuk menghindari
menggunakan enkripsi simetris. Metode simetris memiliki titik kerentanan karena
mereka harus menyimpan kunci simetris dalam memori selama seluruh waktu file
pengguna dienkripsi. Jika prosesnya terganggu, pemeriksaan memori mungkin
mengungkapkan kuncinya.
Dengan menggunakan enkripsi kunci publik, malware akan dikenakan penalti biaya
waktu yang sangat besar. Pengguna mungkin mendeteksi infeksi itu sebelum banyak
file terpengaruh. Namun, metode enkripsi kunci publik tidak akan menghasilkan
informasi yang berguna tentang mendekripsi file. Hanya kunci pribadi yang
cocok, yang dipegang oleh pemeras, dapat membatalkan kerusakan.
Pembayaran Tebusan
Bitcoin atau sistem pembayaran anonim lainnya
melindungi pemeras dengan memindahkan uang tebusan kepada mereka tanpa
mengidentifikasi rekening bank atau lokasi mereka. Meskipun sistem ini tidak
sepenuhnya anonim, uang dapat bergerak cukup cepat melalui bekerja sama situs
"pencucian" untuk menggagalkan penegakan hukum.
Metode lain untuk memberikan kunci dekripsi
digunakan. Ransomware dapat, misalnya, polling perintah dan server kontrol.
Ketika pembayaran selesai, server itu akan mengembalikan kunci ke mesin korban
di mana, dengan sedikit keberuntungan, dekripsi akan diselesaikan dengan cepat.
Menyerang Platform Baru
Penyedia sistem operasi utama mengambil
langkah-langkah untuk mengisolasi berbagai aplikasi dari data satu sama lain,
dan ini membuat pengambilalihan lengkap smartphone melalui aplikasi tunggal
yang dikompromikan tidak mungkin. Meskipun demikian, semua perangkat lunak
memiliki bug, dan serangan zero-day terhadap kernel OS mobile pasti akan muncul
dari waktu ke waktu.
Anda mungkin berpikir bahwa cadangan file
adalah cara sederhana untuk mempertahankan diri dari ransomware. Itu cara yang
baik untuk mulai memikirkan langkah-langkah proaktif, tetapi penulis ransomware
jauh di depan Anda. Kecuali jika Anda memiliki sistem cadangan yang menyimpan
salinan data offline dan tidak menimpa data selama beberapa minggu, Anda
mungkin masih rentan terhadap ransomware. Desainer malware secara sistematis
mencari cadangan, baik itu di penyimpanan mesin lokal, pada server file
bersama, pada perangkat yang dapat dilepas, atau dalam layanan cloud.
Ketika mesin yang menderita memiliki kemampuan
untuk menimpa file di server bersama, semua file di server rentan terhadap
malware crypto. Bahkan satu mesin yang terinfeksi dapat menghancurkan file
bisnis kecil misalnya
Kecerdasan ransomware harus dilawan dengan
pendekatan tiga cabang. Pertama, pengiriman malware melalui lampiran email
harus diselesaikan melalui perlindungan sistem operasi yang lebih baik pada OS
utama. Kedua, layanan cadangan harus secara khusus mengatasi ransomware melalui
waktu retensi yang lebih baik dan perlindungan agar tidak ditulis atau dihapus
oleh malware. Dan akhirnya, integritas data sistem file harus menjadi subjek
pengembangan lebih lanjut. Malware seharusnya tidak dapat menulis file.