Suatu pagi di hari Senin, 25 Mei 2015, Agus Wiyono menyalakan komputer yang biasa ia pakai untuk bekerja sebagai seorang desainer grafis. Ada yang aneh dengan komputernya kala itu, karena berjalan lambat dan muncul susunan teks seperti DOS ketika ingin masuk ke sistem operasi Windows 7.
Sebuah notifikasi tak biasa muncul setelah komputer berhasil masuk ke Windows 7. Agus masih tidak mengerti apa maksud notifikasi itu karena tak pernah menemuinya.
Beberapa folder tempat ia biasa menyimpan dokumen dimasuki. Sebuah dokumen yang dibuat dari peranti lunak InDesign dibuka. Klik-klik… tetapi sesuatu yang aneh ditemukan. Dokumen tak bisa dibuka, dan muncul notifikasi aneh. Padahal hari sebelumnya dokumen itu masih bisa dibuka dan diolah.
Segera ia membuka dokumen lain yang dikerjakan pada peranti Adobe Photoshop. Hasilnya sama. Notifikasi aneh muncul dan dokumennya tidak bisa dibuka.
Notifikasi itu berasal dari peranti lunak Locker v5.46. Ini bukanlah peranti lunak yang dibuat untuk mendukung produktivitas seseorang, melainkan sebuah peranti lunak jahat (malware)yang dibuat untuk tujuan memeras.
Locker v5.46 bertugas mengenkripsi atau mengunci dokumen dengan algoritma enkripsi khusus. Setiap dokumen yang terkunci oleh peranti lunak ini hanya bisa diakses jika memasukkan kode unik untuk membuka enkripsinya.
“Saya tidak tahu berapa banyak dokumen saya yang terinfeksi virus ini karena saya menyimpan dokumen banyak sekali. Tapi dokumen penting yang saya buka tidak berhasil diakses,” kata Agus.
Ia mengaku sangat terganggu dengan keberadaan virus tersebut. Terpaksa, Agus harus mengerjakan ulang dokumen desain grafis yang telah ditunggu kliennya. Sehari-hari, Agus bekerja sebagai pekerja lepas desainer grafis dari rumahnya di Jatiasih, Bekasi, kebanyakan untuk perusahaan dan lembaga swadaya masyarakat.
Agus adalah korban dari virus ransomware jenis Locker (versi 5.46) yang sering disebut sebagai virus penyandera dokumen di komputer. Para korban yang ingin mendapatkan kode unik untuk membuka enkripsi, diminta untuk membayar uang tebusan kepada penjahat siber yang telah meretas komputer korban. Tebusan itu tidak berbentuk mata uang suatu negara, melainkan mata uang virtual Bitcoin.
Jika korban tidak memiliki backup dokumen, dan dokumen itu tergolong sangat penting, maka ini bisa jadi bencana.
“Virus ini mengunci semua dokumen InDesign dan Microsoft Word. Kalau dokumen Photoshop dan JPEG sifatnya random, ada beberapa yang masih bisa saya buka. Bukan cuma di partisi hard disk C, tetapi juga di partisi lain,” tegas pria 41 tahun itu.
Mengetahui ada yang tidak beres dengan komputernya, Agus segera mencari informasi seputar Locker dengan mesin pencari Google. Ia menyadari bahwa dokumennya disandera oleh peretas.
Toko komputer yang biasa ia pakai jasanya untuk memperbaiki peranti keras dan peranti lunak, mengaku tidak bisa memperbaiki kerusakan ini.
Dalam notifikasi, peranti lunak ini memperingatkan bahwa “Semua dokumen personal Anda di komputer ini terkunci dan terenkripsi oleh Locker v5.46.” Virus ini memperingatkan bahwa dokumen yang terkunci itu tidak rusak, namun berada dalam kondisi tidak bisa dibaca.
Dokumen yang terkunci hanya dapat dibuka dengan kode rahasia unik berteknologi 2048-bit RSA dan disebut tersimpan di server milik peretas. Di sana peretas juga mengancam jika korban tidak membayar tebusan, maka dokumen akan “dihancurkan” dan tidak dapat membuka dokumen itu lagi.
Nilai tebusan yang diminta adalah 0,1 Bitcoin dan harus dikirim ke nomor rekening tertentu. Tebusan itu tidak bisa dikirim lewat sembarang layanan bursa Bitcoin. Penjahat siber itu hanya mengizinkan korban mentransfer tebusan melalui tiga layanan bursa Bitcoin yang telah disediakan tautannya.
“Harus pakai yang sudah ditentukan oleh mereka. Karena, mereka bilang layanan Bitcoin lain sudah diretas oleh mereka,” ucap Agus.
Berasal dari Eropa Timur
Agus merupakan satu dari sekian banyak korban ransomware Locker yang ada di dunia. Korban ransomware Locker di Indonesia telah mencapai puluhan orang dan mayoritas berasal dari segmen korporasi.
Untuk segmen korporasi lebih menyeramkan infeksinya. Walau yang terkena hanya satu komputer klien, tetapi data dari komputer lain yang dibagikan juga terancam terkunci oleh virus Locker.
Program jahat jenis ransomware mulai terdengar pada pertengahan 2013. Kemudian masuk ke Indonesia pada pertengahan 2014, dan hingga kini terus berkembang.
Belum diketahui secara pasti dari mana malware terebut berasal, namun diduga kuat pusatnya ada di Eropa Timur.
“Mayoritas dari Eropa Timur, seperti Rusia, Ukraina, Rumania. Tiongkok sedang mulai menyebar sekarang,” tutur Alfons Tanujaya yang dikenal sebagai pakar antivirus komputer.
Secara umum, Alfons menjelaskan, ransomware merupakan program yang mencegah atau membatasi pengguna untuk mengakses sistem atau data mereka sendiri, kemudian memaksa para korban untuk membayar tebusan melalui pembayaran online agar kembali bisa mengakses datanya.
Ransomware lain yang pernah ditemukan Alfons adalah Teslacrypt, Cryptowall, dan Alfacrypt.
Virus yang melanda Agus ini juga dikenal dengan nama CTB Locker. Nama CTB merupakan singkatan dari Curve, Tor, Bitcoin. Curve karena metode enkripsi yang digunakan adalah teknik kriptografi kurva elips yang secara teknis lebih efisien dari kriptografi konvensional, Tor adalah metode komunikasi yang digunakan memanfaatkan The Onion Router, dan Bitcoin karena metode tebusannya menggunakan mata uang Bitcoin.
“Karena mereka tak ingin terlacak, maka mereka memanfaatkan mata uang virtual Bitcoin,” lanjut Alfons.
Menurut data dari situs VirusRadar.com, virus yang disebut CTB Locker menyebar di 0,16 persen komputer bersistem operasi Windows XP, Windows Vista, Windows 7, dan Windows 8, di Indonesia.
Jangan Mengakses Sembarang Situs Web
Agus tidak mengetahui pasti dari mana virus Locker ini bisa sampai menginfeksi komputernya. Tetapi Agus punya dugaan kuat, virus tersebut berasal dari layanan Torrent yang biasa dipakai anaknya untuk mengunduh permainan di komputer.
“Anak-anak main klik link apa saja yang mereka temui. Anak saya suka mengunduh dari Torrent. Mungkin berasal dari situ,” Agus menduga.
Cara infeksi virus bisa melalui beragam saluran, dengan cara tradisional seperti mengirimkan lampiran berformat PDF atau ZIP lewat email yang dikirim ke korban, atau bisa juga melalui situs web yang sengaja memancing orang untuk mengkliknya.
Situs web Torrent dikenal sebagai tempat yang tidak aman untuk dikunjungi karena tidak ada jaminan keamanan. Begitu juga situs web pornografi yang disebut Alfons sebagai gudang virus dan sebaiknya jangan pernah dikunjungi “karena kita tidak tahu virus apa yang diselundupkan di layanan mereka.”
Pasrah dan Menunggu
Alfons menyarankan agar Agus tidak mentransfer untuk membayar tebusan atas dokumennya yang disandera. Karena, ia tidak pernah tahu, tebusan senilai 0,1 Bitcoin itu berlaku untuk menebus hanya satu dokumen atau untuk semua dokumen.
“Alfons menyarankan untuk tidak memberi tebusan. Karena kalau sampai kita transfer, bisa jadi mereka makin gila. Ini benar-benar pemerasan dan faktor utamanya adalah ekonomi,” tutur Agus.
Solusi agar terhindar dari virus penyandera ini adalah membuat backup dokumen. Dokumen penting yang ukurannya besar bisa di-backup di kepingan DVD dan dibuat offline. Sementara dokumen yang ukurannya relatif kecil bisa di-backup di layanan komputasi awan seperti Dropbox atau Google Drive. Jadi, kalau terkena ransomware, data pekerjaan seperti Word, Excel, dan mungkin desain aman karena ter-backup dan tinggal di-restore.
Pasrah. Itu lah yang akhirnya dipilih oleh Agus. Fokusnya sekarang adalah mencari dokumen yang berhasil dia backup dan mengerjakan ulang desain yang telah ditunggu klien. Foto-foto berharga, yang kebanyakan menyimpan momen bersama keluarga, harus direlakan hilang.
Sumber berita: cnnindonesia.com
Sumber foto: juntoblog.net
