Cryptography Ransomware

-


Crypto ransomware semakin pintar. Bagi siapa pun yang menentangnya, ada baiknya mengetahui opsi yang tersedia untuk penulis malware dan bagaimana mereka mungkin tersandung atau dibelokkan. Ini adalah jenis kejahatan baru yang menarik, yang diaktifkan oleh kriptografi asimetris, sistem blok-rantai, jaringan botnet yang besar, dan fakta bahwa tidak peduli seberapa banyak yang kita inginkan, perangkat lunak yang menggerakkan perangkat komputasi kita selalu memiliki bug yang dapat dieksploitasi.

Bagaimana cara kerjanya?

Kriptografi bukanlah keharusan mutlak untuk ransomware, tapi itu satu-satunya cara untuk mendekati serangan pemerasan layanan yang tidak dapat dipecahkan.

Meskipun demikian, rekayasa sosial dan titik harga yang dipilih dengan baik dapat membuat bahkan ransomware non-kriptografi ("locker ransomware" atau "lockerware"] menjadi alat yang efektif. Lockerware akan mengalihkan komputer dari operasi normalnya dengan mengendalikan sumber daya kritis, mungkin dengan mengenkripsi dan mengganti sumber daya itu, dan kemudian menampilkan pandangan yang tampaknya tidak dapat dihindarkan dari permintaan untuk pembayaran. Permintaan mungkin tampak berasal dari lembaga penegak hukum. Beberapa kunci-erware menggunakan teknik Javascript sederhana untuk mengendalikan browser, sekali lagi dengan permintaan tebusan. Jika tebusan dibayarkan, pengguna harus menerima instruksi tentang cara mendapatkan kembali kendali atas komputer atau browsernya.

Dari perspektif teknologi, ransomware yang sukses harus memenuhi beberapa persyaratan penting.

1.Beberapa sumber daya yang berharga bagi pengguna harus dibuat tidak tersedia (penolakan layanan).

2.Penolakan sumber daya dan instruksi pembayaran harus diumumkan kepada pengguna mesin yang tertimpa bencana dalam proses yang tidak dapat dihindari dan terlihat.

3.Kemampuan untuk memulihkan sumber daya yang berharga harus bergantung pada sejumlah kecil data yang hanya tersedia untuk pemeras dan tidak dapat disimpulkan atau dihitung oleh proses lain dengan biaya yang wajar.

4.Pemeras harus dapat memverifikasi pembayaran.

5.Pemeras harus dapat menerima pembayaran dan menyediakan informasi untuk memulihkan sumber tanpa mengidentifikasi dirinya.

6.Proses restorasi harus berjalan pada komputer yang terkena, harus mudah digunakan, dan restorasi harus cukup andal.

Kriptografi kunci publik menyediakan sarana untuk mencapai persyaratan, Sebagian besar ransomware memperdagangkan keamanan untuk kinerja, dan ini memberikan kemampuan untuk mengenkripsi lebih banyak data file pengguna sebelum terdeteksi.

Hanya Kunci Simetris

Jika setiap instance virus menggunakan kunci enkripsi simetris unik untuk pekerjaan kotornya, dan jika ia menghancurkan kunci itu setelah menggunakannya, maka pemulihan file akan hampir mustahil. Satu-satunya masalah adalah bahwa pemeras harus tahu apa kunci itu untuk melepaskan file korban. Dengan demikian, mesin korban harus memegang beberapa data yang memungkinkan pemeras tahu kunci mana yang digunakan untuk korban itu. Entah bagaimana, harus ada komunikasi antara pemeras dan mesin korban.

Malware dapat memulai komunikasi itu sebelum memulai pekerjaannya, atau dapat dilakukan ketika selesai mengenkripsi. Dalam kasus sebelumnya, malware menghubungi pemeras dan menerima kunci enkripsi simetris dan pengidentifikasi kunci. Dalam kasus terakhir, malware menghasilkan kunci simetris acak dan pengidentifikasi acak dan mengirimkannya ke pemeras. Dalam kedua kasus, setelah mengenkripsi file, malware menghancurkan kunci enkripsi tetapi mempertahankan pengidentifikasi kunci. Jika korban membayar tebusan dan mengomunikasikan pengenal kepada pemeras, pemeras akan dapat mengirim kunci enkripsi yang sesuai.
jika mesin korban tidak terhubung ke Internet, maka serangan ini mungkin gagal untuk memulai, atau mungkin gagal untuk meninggalkan cara apa pun bagi korban untuk memulihkan datanya. Setelah kunci simetris dihapus, kita hanya bisa berharap bahwa pemeras sebenarnya memiliki kunci dan pengidentifikasi kunci!

Meskipun skema ini merupakan inti dari semua crypto ransomware, seperti dijelaskan di sini, skema ini memiliki kelemahan serius. Siapa pun yang mengamati komunikasi antara malware dan pemeras akan dapat melihat kunci simetris. Mungkin muncul dalam log lalu lintas jaringan, baik secara lokal atau pada monitor jaringan di jalur komunikasi. Namun, jika korban tidak memiliki akses ke pesan, metodenya cukup baik.

Kunci Publik Master Tertanam

Dengan menggunakan kriptografi kunci publik, ransomware dapat menghindari keharusan berkomunikasi langsung dengan pemeras. Sejauh ini, ini adalah cara paling sederhana untuk mengimplementasikan ransomware. Metode ini mirip dengan yang ada di bagian sebelumnya, tetapi dengan perbedaan penting: malware memiliki kunci publik pemeras yang tertanam dalam perangkat lunaknya.

Malware dimulai dengan membuat kunci acak untuk enkripsi simetris. Setelah mengenkripsi file korban, malware menggunakan kunci publik yang tertanam untuk mengenkripsi kunci tebusan acak. Jika malware tidak meninggalkan jejak kunci simetris, maka kunci acak terenkripsi berfungsi sebagai pengidentifikasi kunci. Setelah membayar uang tebusan, korban mengirim kunci terenkripsi ke pemeras atau mempublikasikannya di tempat yang telah disepakati sebelumnya. Pemeras akan menggunakan kunci pribadinya untuk membuka kunci simetris acak, dan ia dapat mengirimkannya kepada korban atau mempublikasikannya di tempat yang telah disepakati sebelumnya.

Metode ini hanya memiliki dua kelemahan. Salah satunya adalah bahwa kunci simetris mungkin terlihat jika korban yang mencurigakan membuang memori saat enkripsi aktif. Masalah lainnya adalah bahwa jika pemeras entah bagaimana membocorkan nilai kunci pribadi, maka semua korban dapat menggunakannya untuk memulihkan data mereka dengan mendekripsi kunci simetris terenkripsi secara lokal mereka. Bahkan, seorang pemeras mengakhiri rencananya dengan menerbitkan kunci pribadi

Publik Unik untuk Setiap Mesin Virtual Malware

Dengan menambahkan satu pesan pulang pergi, ransomware dapat menghindari ketergantungan pada satu kunci publik. Meskipun sebagian besar ransomware menggunakan kunci publik yang tidak dapat "rusak" dalam skenario komputasi yang masuk akal, tetap saja, satu kunci publik hanya satu lapisan perlindungan untuk pemeras.

Jika malware mengirim pesan permintaan ke layanan pesan pemeras, seperti situs web yang dikompromikan yang menyediakan anonimitas bagi para penjahat, maka pusat perintah dan kontrol untuk ransomware dapat mengirim kembali kunci publik yang baru dihitung. Malware di komputer korban akan mengenkripsi kunci simetris menggunakan kunci publik. Kunci publik itu sendiri berfungsi sebagai pengidentifikasi untuk digunakan saat membayar uang tebusan. Perangkat lunak pemeras akan menemukan kunci pribadi yang cocok dan mengirimkannya kepada korban.

Varian yang menarik pada metode ini memungkinkan malware untuk menghindari menggunakan enkripsi simetris. Metode simetris memiliki titik kerentanan karena mereka harus menyimpan kunci simetris dalam memori selama seluruh waktu file pengguna dienkripsi. Jika prosesnya terganggu, pemeriksaan memori mungkin mengungkapkan kuncinya.

Dengan menggunakan enkripsi kunci publik, malware akan dikenakan penalti biaya waktu yang sangat besar. Pengguna mungkin mendeteksi infeksi itu sebelum banyak file terpengaruh. Namun, metode enkripsi kunci publik tidak akan menghasilkan informasi yang berguna tentang mendekripsi file. Hanya kunci pribadi yang cocok, yang dipegang oleh pemeras, dapat membatalkan kerusakan.

Pembayaran Tebusan

Bitcoin atau sistem pembayaran anonim lainnya melindungi pemeras dengan memindahkan uang tebusan kepada mereka tanpa mengidentifikasi rekening bank atau lokasi mereka. Meskipun sistem ini tidak sepenuhnya anonim, uang dapat bergerak cukup cepat melalui bekerja sama situs "pencucian" untuk menggagalkan penegakan hukum.

Metode lain untuk memberikan kunci dekripsi digunakan. Ransomware dapat, misalnya, polling perintah dan server kontrol. Ketika pembayaran selesai, server itu akan mengembalikan kunci ke mesin korban di mana, dengan sedikit keberuntungan, dekripsi akan diselesaikan dengan cepat.

Menyerang Platform Baru

Penyedia sistem operasi utama mengambil langkah-langkah untuk mengisolasi berbagai aplikasi dari data satu sama lain, dan ini membuat pengambilalihan lengkap smartphone melalui aplikasi tunggal yang dikompromikan tidak mungkin. Meskipun demikian, semua perangkat lunak memiliki bug, dan serangan zero-day terhadap kernel OS mobile pasti akan muncul dari waktu ke waktu.
Anda mungkin berpikir bahwa cadangan file adalah cara sederhana untuk mempertahankan diri dari ransomware. Itu cara yang baik untuk mulai memikirkan langkah-langkah proaktif, tetapi penulis ransomware jauh di depan Anda. Kecuali jika Anda memiliki sistem cadangan yang menyimpan salinan data offline dan tidak menimpa data selama beberapa minggu, Anda mungkin masih rentan terhadap ransomware. Desainer malware secara sistematis mencari cadangan, baik itu di penyimpanan mesin lokal, pada server file bersama, pada perangkat yang dapat dilepas, atau dalam layanan cloud. 
Ketika mesin yang menderita memiliki kemampuan untuk menimpa file di server bersama, semua file di server rentan terhadap malware crypto. Bahkan satu mesin yang terinfeksi dapat menghancurkan file bisnis kecil misalnya

Kecerdasan ransomware harus dilawan dengan pendekatan tiga cabang. Pertama, pengiriman malware melalui lampiran email harus diselesaikan melalui perlindungan sistem operasi yang lebih baik pada OS utama. Kedua, layanan cadangan harus secara khusus mengatasi ransomware melalui waktu retensi yang lebih baik dan perlindungan agar tidak ditulis atau dihapus oleh malware. Dan akhirnya, integritas data sistem file harus menjadi subjek pengembangan lebih lanjut. Malware seharusnya tidak dapat menulis file.

Popular posts from this blog

Implementasi Steganography

-
Image
Steganography Merupakan metode untuk mengatasi masalah keamanan data, yaitu sebuah seni dan ilmu menyembunyikan pesan dengan suatu cara pada media lain sehingga selain si pengirim dan si penerima, tidak ada seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia.
Read more