Jumat, September 23, 2016

Cara Mengembalikan Data Yang Terinfeksi Virus Cerber

Cara Mengembalikan Data Yang Terinfeksi Virus Cerber | Sudah lama tidak bersentuhan dengan virus komputer, tiba-tiba dipertemukan dengan virus yang berdasarkan pengalaman saya baru kali ini menemukan virus semacam ini. Ya, maklum lah saya bukan orang yang tukang menelisik dunia virus komputer, sesekali berkenalan dengan virus ketika komputer atau laptop pribadi atau punya teman terinfeksi virus saja. Alhamdulillah, sudah sangat lama saya tidak direpotkan lagi dengan berbagai macam virus karena komputer dan laptop sayan saya gunakan aman-aman saja dari serangan virus.

Namun akhirnya saya kembali harus berhadapan dengan virus komputer yang menurut saya sangat ganas dan berbahaya (gak tahu kalau menurut para ahli). Hehehe.....

Para ahli IT menyebutkan virus ini dengan sebutan Ransomware Cerber. Bahkan pihak ESET sudah mendeteksi aktivitas Ransomware Cerber dan mengenalinya sebagai Win32/Filecoder.Cerber. Konon katanya malware ini berasal dari Rusia. Efek yang diakibatkan dari virus ini sungguh luar biasa dan membuat saya stres tingkat tinggi. Bagaimana tidak, karena efek dari virus ini semua data dalam laptop terenkripsi dan ekstensinya berubah menjadi cerber suma. Menurut para ahli Cerber diketahui menggunakan AES-256 Encryption untuk mengenkripsi file korban dan menambahkan ekstensi .cerber pada setiap file yang terenkripsi.

Baca Juga : Cara Mengenali dan Mencegah Virus Ransomware WanaCry

Screen shoot di atas dalah contoh data dalam laptop yang sudah dienkripsi dan ekstensinya berubah menjadi cerber. Akibatnya semua data tidak akan bisa dibuka. Parahnya lagi, data yang dienkripsi bukan hanya data yang tersimpan di drive C seperti kebanyak virus lainnya, semua drive yang ada dalam komputer atau laptop akan trerinfeksi. Selain itu, pembuat virus juga akan membuat pesa melalui wallpaper windows. Wallpeper laptop atau komputer akan berubah seperti ini


Pesan tersebut akan menggiring pengguna laptop atau komputer yang menjadi korban untuk mengunjungi beberapa alamat web yang menawarkan decryptor yang diklaim akan mengembalikan data pada laptop atau komputer. Namun decryptor ini tidak bisa didapat secara cuma-cuma, kita harus membayar sebesar $500 (500 dolar). Wuidih..... gila banget nih pembuat virus sialan. Mereka benar-benar memeras, padahal jika dituruti kemauan mereka belum tentu data akan bisa kembali 100%.

Baca Juga : Anti Virus Terbaik Untuk Mencegah Ransomware Wanacry

Bagaimana virus cerber bisa menyerang dan menyandra semua data dalam komputer atau laptop?


Ketika pertama kali beraksi, Cerber akan memeriksa untuk melihat apakah korban berasal dari negara tertentu. Jika komputer korban berasal dari negara-negara seperti Armenia, Azerbaijan, Belarus, Georgia, Kyrgyztan, kazakstan, Moldova, Rusia, Turkmenistan, Tajikistan, Ukraina dan Uzbekistan, maka Cerber akan mematikan dirinya sendiri dan membatalkan enkripsi komputer.

Jika korban tidak berasal dari salah satu negara diatas, Cerber akan menginstal dirinya dalam folder %AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\ dan memberi nama dirinya setelah mematikan Windows secara acak. Misalnya, ia memberi nama dirinya autochk.exe. Lalu ia akan mengkonfigurasi Windows untuk booting secara otomatis ke Safe Mode with Networking, pada reboot berikutnya Cerber akan menggunakan perintah C:\Windows\System32\bcdedit.exe” / set {current} safeboot network.

Cerber akan mengkonfigurasi dirinya untuk start secara otomatis ketika login ke Windows, berjalan sebagai screensaver ketika komputer Anda siaga dan mengeksekusi dirinya sendiri sekali setiap menit. Pada fase ini ketika ransomware dijalankan, ia akan tampilkan sistem peringatan palsu dan memulai proses restart. Sampai restart ini diperbolehkan untuk terjadi, ia akan terus menampilkan sistem peringatan palsu. Contoh peringatan palsu bisa dilihat seperti bawah ini:
cerber
Komputer kemudian akan reboot kedalam Safe Mode with Networking setelah Anda login, lalu akan mati secara otomatis lagi dan reboot kembali ke normal mode. Setelah boot ke regular mode, ransomware akan beraksi dan memulai proses enkripsi pada komputer korban.

Cerber diketahui menggunakan file konfigurasi JSON untuk pengaturannya ketika berjalan. File config ini merinci ekstensi apa yang dienkripsi, negara mana yang tidak boleh dienkripsi, folder dan file mana yang tidak boleh dienkripsi dan berbagai informasi konfigurasi lainnya.

Ketika mengenkripsi data Anda, Cerber akan memindai huruf drive korban untuk mencari file apapun yang cocok dengan file ekstensi tertentu. Ketika malware menemukan data file yang cocok, ia akan mengenkripsi file dengan AES-256 Encryption, mengenkripsi nama file dan kemudian menambahkan ekstensi .CERBER padanya. Sebagai contoh, file yang belum dienkripsi test.doc dapat diganti sebagai Zu0ITC4HoQ.cerber setelah dienkripsi. Berikut adalah file ekstensi yang menjadi target:
.contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv
Saat mencari file untuk dienkripsi, Cerber akan melewatkan file yang bernama bootsect.bak, iconcache.db, thumbs.db, or wallet.dat atau yang seluruh pathname nya termasuk dalam string berikut:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\
Lebih lanjut, Cerber memiliki kemampuan untuk memindai dan menghitung unmapped Windows shares dan mengenkripsi setiap data yang ditemukan disana. Jika pengaturan jaringan di file konfigurasi diubah ke 1, maka Cerber akan mencari dan mengenkripsi setiap share pada jaringan Anda, meskipun share itu tidak dipetakan ke komputer.





Networking Setting
Networking Setting
Meskipun fitur ini tampaknya dimatikan dalam file konfigurasi, hal ini perlu menjadi perhatian untuk semua sistem administrator untuk menguatkan keamanan share jaringan mereka sebagaimana fitur ini mulai menjadi umum pada setiap serangan ransomware baru.

Baca Juga : Cara Mengembalikan Data Flasdisk Yang Hilang Karena Virus



Terakhir, Cerber akan membuat 3 ransom note pada desktop Anda sebagaimana pada setiap folder yang terenkripsi. File ini disebut # DECRYPT MY FILES #.html, # DECRYPT MY FILES #.txt, and # DECRYPT MY FILES #.vbs. Ransom note ini berisi petunjuk atas apa yang terjadi pada data Anda dan berisi link ke Tor decryption service dimana Anda melakukan pembayaran dan mengambil decryptor.
cerber3
Di bagian bawah setiap ransom note berisi kutipan latin
cerber4
Bila diterjemahkan kedalam bahasa Indonesia menjadi “That which does not kill me makes me stronger”

Cryptolocker yang bersuara
Catatan yang dibuat Cerber agak sedikit spesial daripada yang lainnya yaitu dengan menggunakan # DECRYPT MY FILES #.vbs file berisi VBScript yang menjadi pesan bagi korban yang terus diulang.           





VBS Script
VBS Script

Cara Menghapus Virus Cerber dan Mengembalikan Data

Para ahli terus memantau perkembangan virus ini terutama para perusahaan pembuat anti virus. Salah satuny adalah ESET yang jauh-jauh hari sudah memprediksi mengenai trend serangan yang mungkin terjadi pada tahun 2016, bagaimana ransomware adalah salah satu ancaman yang menjadi fokus perhatian, karena perkembangannya yang sangat cepat dan bervariasi. Lebih jauh ESET menjelaskan tentang informasi teknis virus cerber seperti berikut :

File yang terkait dengan Cerber Ransomware
HKCU\Control Panel\Desktop\SCRNSAVE.EXE “%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
HKCU\Software\Microsoft\Command Processor\AutoRun”%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]”%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random]”%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
Entry registry yang terkait dengan Cerber ransomware
“%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe”
Bagaimana membersihkan Ransomeware cerber3 yang menginfeksi komputer anda ?

Untuk menanggulangi virus cerber, yaitu menghapur virus cerber dan mengembalikan data maka pihak ESET sudah menyiapkan sebuah tool spesial yang diklaim mampu membumi hanguskan serangan virus cerber. Jika saat ini anda direpotkan oleh virus cerber ini, coba langkah-alangkah dibawah ini untuk beruapaya mengatasinya.
  • Anda dapat mengunjungi laman resmi ESET untuk mengunduh file antivirus ESET TeslaCrypt Decryptor versi terbaru, atau Anda bisa mengunduhnya DI SINI. jika sudah terunduh silahkan install program tersebut.
  • Jika program ESET TeslaCrypt Decryptor yang telah anda unduh tadi sudah anda install dan tersimpan pada drive D, maka kita ketikan D: pada kotak Command Prompt atau CMD tadi lalu tekan enter.
  • Setelah anda berada  di drive D, selanjutnya kita  ketik ESETTeslaCryptDecryptor.exe D: dan lalu tekan enter. Drive D: tersebut dapat diganti dengan letak drive yang ingin dibersihkan, misal drive C bisa ketikan C: atau E dengan mengetikkan E: dan seterusnya.Untuk hasil yang maksimal kami sarankan untuk melakukan scanning keseluruhan drive pada komputer anda
  • Selanjutnya nanti akan muncul kolom persetujuan, jika anda berniat bisa dibaca terlebih dahulu, jika sudah selanjutnya tinggal klik tombol “Agree” kemudian silahkan tunggu beberapa menit, lamanya proses pembersihan ini ini tergantung banyaknya file yang terdapat pada setiap drive pada perangkat komputer anda
  • cara kerja program antivirus ini adalah dengan melakukan scanning pada tiap drive,jika ada file yang dikunci dengan ransomware cerber3  maka program ini akan muncul notifikasi bahwa program telah  menemukan ransomware tersebut dan otomatis membersihkannya
 
Mungkin saat ini sudah banyak anti virus yang terus mengembangkan kemampuannya dalam menanggulangi serangan virus cerber ini, tapi tetap saja virus cerber ini membuat repot banyak pihak. Para ahli IT saja dibuat repot, apalagi saya yang sangat awam dengan dunia coding. Hadeuh.....

Mungkin anda akan berpikir, gitu aja kok repot tinggal instal ulang saja komputer atau laptop pasti kembali normal. Saya juga berpikri demikian saat mengatasi virus ini untuk pertama kalinya dan hasilnya sangat diluar dugaan. Kalau windows, ya bisa kembali normal tapi semua data tetap terenkirpsi. Semua data tidak bisa dibuka dan ekstensinya tetap cerber.

Cara Mencegah Komputer atau Laptop Terinfeksi Virus Cerber

  1. Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  2. Pastikan Windows yang digunakan selalu terupdate terhadap patch atau hotfix dari windows.
  3. Gunakan konfigurasi yang optimal untuk mendapatkan perlindungan maksimal.
  4. Jangan langsung aktifkan macro dalam dokumen attachment yang diterima melalui email. Microsoft sudah mematikan auto-execution macro secara default sejak bertahun-tahun yang lalu sebagai langkah keamanan. Karena selama ini banyak infeksi malware mengandalkan cara dengan menyakinkan Anda untuk mengaktifkan macro, jadi jangan lakukan itu!
  5. Berhati-hati terhadap unsolicited attachment. Pelaku kejahatan selalu menggunakan dilema sebagai senjata untuk mempengaruhi Anda secara psikologis, apakah harus membuka dokumen atau tidak, sementara Anda tidak tahu dokumen itu benar atau tidak. Saat ragu jangan lakukan atau konsultasi dengan tim IT Anda.
  6. Pertimbangkan untuk menginstal Microsoft Office Viewers. Aplikasi Viewer memberikan kemudahan untuk melihat sebuah dokumen tanpa harus membukanya dalam Word atau Excell. Software Viewer memang dibuat khusus agar tidak support terhadap macro, untuk mencegah melakukan kesalahan secara tidak sengaja.
  7. Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Malware tidak hanya datang melalui macro dokumen, seringkali ia datang mengandalkan security bug dalam aplikasi populer, termasuk Office, browser, Flash dan banyak lagi. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  8. Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  9. Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  10. Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  11. Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  12. Pastikan TIDAK ADA komputer asing yang TIDAK TERPROTEKSI ANTIVIRUS berada di dalam jaringan.
  13. Lebih disarankan menggunakan antivirus yang sudah terintegrasi juga dengan Antispam dan Antivirus untuk mail client.
  14. Gunakan Mail Security untuk proteksi dari sisi mail server agar email dengan attachment bervirus atau spam langsung difilter sebelum sampai di user (user hanya terima clean email). Saat ini di Indonesia sudah ada penyedia cloud service untuk sistem ini sehingga tidak diperlukan perangkat tambahan.
  15. Jika memungkinkan disable RDP connection, namun jika masih dibutuhkan buat rules yang lebih strict untuk RDP.
  16. Pastikan Software ESET di komputer Anda selalu dan sudah terupdate.

1 komentar:

Resep Buat Kamu

Back To Top