Ilustrasi peretas sistem komputer yang meminta tebusan. (CNN Indonesia/Laudy Gracivia)
Jakarta, CB
--
Suatu pagi di hari Senin, 25 Mei 2015, Agus Wiyono
menyalakan komputer yang biasa ia pakai untuk bekerja sebagai seorang
desainer grafis. Ada yang aneh dengan komputernya kala itu, karena
berjalan lambat dan muncul susunan teks seperti DOS ketika ingin masuk
ke sistem operasi Windows 7.
Sebuah notifikasi tak biasa muncul
setelah komputer berhasil masuk ke Windows 7. Agus masih tidak mengerti
apa maksud notifikasi itu karena tak pernah menemuinya.
Beberapa
folder tempat ia biasa menyimpan dokumen dimasuki. Sebuah dokumen yang
dibuat dari peranti lunak InDesign dibuka. Klik-klik... tetapi sesuatu
yang aneh ditemukan. Padahal hari sebelumnya dokumen itu masih bisa
dibuka dan diolah lagi.
Segera ia membuka dokumen lain yang
dikerjakan pada peranti Adobe Photoshop. Hasilnya sama. Notifikasi aneh
itu muncul lagi dan dokumennya tidak bisa dibuka.
Notifikasi itu
berasal dari peranti lunak Locker v5.46. Ini bukanlah peranti lunak yang
dibuat untuk mendukung produktivitas seseorang, melainkan sebuah
peranti lunak jahat
(malware) yang dibuat untuk tujuan memeras.
 Tampilan notifikasi virus penyandera dokumen yang meminta tebusan (ransomware) Locker v5.46. (Dok. Agus Wiyono)
|
 Tiga
layanan bursa Bitcoin yang direkomendasikan oleh peretas dari virus
penyandera dokumen yang meminta tebusan (ransomware) Locker v5.46. (Dok.
Agus Wiyono)
|
Locker v5.46 bertugas mengenkripsi atau mengunci dokumen dengan
algoritma enkripsi khusus. Setiap dokumen yang terkunci oleh peranti
lunak ini hanya bisa diakses jika memasukkan kode unik untuk membuka
enkripsinya.
"Saya tidak tahu berapa banyak dokumen saya yang
terinfeksi virus ini karena saya menyimpan dokumen banyak sekali. Tapi
dokumen penting yang saya buka tidak berhasil diakses," kata Agus kepada
CNN Indonesia.
Ia mengaku sangat terganggu dengan keberadaan
virus tersebut. Terpaksa, Agus harus mengerjakan ulang dokumen desain
grafis yang telah ditunggu kliennya. Sehari-hari, Agus bekerja sebagai
pekerja lepas desainer grafis dari rumahnya di Jatiasih, Bekasi,
kebanyakan untuk perusahaan dan lembaga swadaya masyarakat.
Agus
adalah korban dari virus ransomware jenis Locker (versi 5.46) yang
sering disebut sebagai virus penyandera dokumen di komputer. Para korban
yang ingin mendapatkan kode unik untuk membuka enkripsi, diminta untuk
membayar uang tebusan kepada penjahat siber yang telah meretas komputer
korban. Tebusan itu tidak berbentuk mata uang suatu negara, melainkan
mata uang virtual Bitcoin.
Jika korban tidak memiliki backup dokumen, dan dokumen itu tergolong sangat penting, maka ini bisa jadi bencana.
"Virus
ini mengunci semua dokumen InDesign dan Microsoft Word. Kalau dokumen
Photoshop dan JPEG sifatnya random, ada beberapa yang masih bisa saya
buka. Bukan cuma di partisi hard disk C, tetapi juga di partisi lain,"
tegas pria 41 tahun itu.
Mengetahui ada yang tidak beres dengan
komputernya, Agus segera mencari informasi seputar Locker dengan mesin
pencari Google. Ia menyadari bahwa dokumennya disandera oleh peretas.
Toko
komputer yang biasa ia pakai jasanya untuk memperbaiki peranti keras
dan peranti lunak, mengaku tidak bisa memperbaiki kerusakan ini.
Dalam
notifikasi, peranti lunak ini memperingatkan bahwa "Semua dokumen
personal Anda di komputer ini terkunci dan terenkripsi oleh Locker
v5.46." Virus ini memperingatkan bahwa dokumen yang terkunci itu tidak
rusak, namun berada dalam kondisi tidak bisa dibaca.
Dokumen yang
terkunci hanya dapat dibuka dengan kode rahasia unik berteknologi
2048-bit RSA dan disebut tersimpan di server milik peretas. Di sana
peretas juga mengancam jika korban tidak membayar tebusan, maka dokumen
akan "dihancurkan" dan tidak dapat membuka dokumen itu lagi.
Nilai
tebusan yang diminta adalah 0,1 Bitcoin dan harus dikirim ke nomor
rekening tertentu. Tebusan itu tidak bisa dikirim lewat sembarang
layanan bursa Bitcoin. Penjahat siber itu hanya mengizinkan korban
mentransfer tebusan melalui tiga layanan bursa Bitcoin yang telah
disediakan tautannya.
"Harus pakai yang sudah ditentukan oleh
mereka. Karena, mereka bilang layanan Bitcoin lain sudah diretas oleh
mereka," ucap Agus.
Berasal dari Eropa TimurAgus
merupakan satu dari sekian banyak korban ransomware Locker yang ada di
dunia. Direktur perusahaan keamanan siber Vaksincom, Alfons Tanujaya
memprediksi, korban ransomware Locker di Indonesia telah mencapai
puluhan orang dan mayoritas berasal dari segmen korporasi.
Untuk
segmen korporasi lebih menyeramkan infeksinya. walau yang terkena hanya
satu komputer klien, tetapi data dari komputer lain yang dibagikan juga
terancam terkunci oleh virus Locker.
Program jahat jenis
ransomware mulai terdengar pada pertengahan 2013. Kemudian masuk ke
Indonesia pada pertengahan 2014, dan hingga kini terus berkembang.
Belum diketahui secara pasti dari mana malware terebut berasal, namun diduga kuat pusatnya ada di Eropa Timur.
"Mayoritas
dari Eropa Timur, seperti Rusia, Ukraina, Rumania. Tiongkok sedang
mulai menyebar sekarang," tutur Alfons yang dikenal sebagai pakar
antivirus komputer.
Secara umum, Alfons menjelaskan, ransomware
merupakan program yang mencegah atau membatasi pengguna untuk mengakses
sistem atau data mereka sendiri, kemudian memaksa para korban untuk
membayar tebusan melalui pembayaran online agar kembali bisa mengakses
datanya.
Ransomware lain yang pernah ditemukan Alfons adalah Teslacrypt, Cryptowall, dan Alfacrypt.
Virus
yang melanda Agus ini juga dikenal dengan nama CTB Locker. Nama CTB
merupakan singkatan dari Curve, Tor, Bitcoin. Curve karena metode
enkripsi yang digunakan adalah teknik kriptografi kurva elips yang
secara teknis lebih efisien dari kriptografi konvensional, Tor adalah
metode komunikasi yang digunakan memanfaatkan The Onion Router, dan
Bitcoin karena metode tebusannya menggunakan mata uang Bitcoin.
"Karena mereka tak ingin terlacak, maka mereka memanfaatkan mata uang virtual Bitcoin," lanjut Alfons.
Menurut
data dari situs VirusRadar.com, virus yang disebut CTB Locker menyebar
di 0,16 persen komputer bersistem operasi Windows XP, Windows Vista,
Windows 7, dan Windows 8, di Indonesia.
Jangan Mengakses Sembarang Situs WebAgus
tidak mengetahui pasti dari mana virus Locker ini bisa sampai
menginfeksi komputernya. Tetapi Agus punya dugaan kuat, virus tersebut
berasal dari layanan Torrent yang biasa dipakai anaknya untuk mengunduh
permainan di komputer.
"Anak-anak main klik link apa saja yang
mereka temui. Anak saya suka mengunduh dari Torrent. Mungkin berasal
dari situ," Agus menduga.
Cara infeksi virus bisa melalui beragam
saluran, dengan cara tradisional seperti mengirimkan lampiran berformat
PDF atau ZIP lewat email yang dikirim ke korban, atau bisa juga melalui
situs web yang sengaja memancing orang untuk mengkliknya.
Situs
web Torrent dikenal sebagai tempat yang tidak aman untuk dikunjungi
karena tidak ada jaminan keamanan. Begitu juga situs web pornografi yang
disebut Alfons sebagai gudang virus dan sebaiknya jangan pernah
dikunjungi "karena kita tidak tahu virus apa yang diselundupkan di
layanan mereka."
Pasrah dan MenungguAgus
pusing bukan kepalang setelah komputernya terinfeksi ransomware Locker
karena beberapa dokumen pentingnya tidak di-backup. Ia segera mencari
seseorang yang bisa dimintai solusi.
Dari hasil penelusuran
dengan mesin pencari Google, Agus menemukan nama Alfons dan pakar
keamanan siber lain. Ia kemudian mengirim email untuk berkonsultasi.
"Saya juga telah mengirim sampel satu folder yang saya duga sebagai
pusat virusnya, agar diteliti sama mereka," jelas Agus.
Alfons menyarankan agar Agus tidak mentransfer untuk membayar tebusan
atas dokumennya yang disandera. Karena, ia tidak pernah tahu, tebusan
senilai 0,1 Bitcoin itu berlaku untuk menebus hanya satu dokumen atau
untuk semua dokumen.
"Alfons menyarankan untuk tidak memberi
tebusan. Karena kalau sampai kita transfer, bisa jadi mereka makin gila.
Ini benar-benar pemerasan dan faktor utamanya adalah ekonomi," tutur
Agus.
Solusi agar terhindar dari virus penyandera ini, kata
Alfons adalah membuat backup dokumen. Dokumen penting yang ukurannya
besar bisa di-backup di kepingan DVD dan dibuat offline. Sementara
dokumen yang ukurannya relatif kecil bisa di-backup di layanan komputasi
awan seperti Dropbox atau Google Drive.
"Backup yang baik dan
benar itu sangat penting. Jadi, kalau terkena ransomware, data pekerjaan
seperti Word, Excel, dan mungkin desain aman karena ter-backup dan
tinggal di-restore," Alfon menjelaskan.
Pasrah. Itu lah yang
akhirnya dipilih oleh Agus. Fokusnya sekarang adalah mencari dokumen
yang berhasil dia backup dan mengerjakan ulang desain yang telah
ditunggu klien. Foto-foto berharga, yang kebanyakan menyimpan momen
bersama keluarga, harus direlakan hilang.
Ia berharap ada pakar keamanan siber di belahan dunia lain yang membuat solusi untuknya.
Beberapa
waktu lalu sempat muncul virus yang mirip dengan Locker. Setelah
beredar cukup lama dan telah diteliti oleh pakar keamanan, virus itu
akhirnya bisa taklukan. Para pakar membuat sebuah situs web yang
memungkinkan para korban mengunggah dokumen yang terkunci lewat situs
web, lalu para pakar keamanan membantu untuk membukanya dengan memberi
kode unik pembuka enkripsi, kemudian mengirim kembali dokumen kepada si
korban.
"Sekarang saya cuma bisa menunggu ada website semacam
ini, sampai saya bisa membuka lagi dokumen-dokumen saya," Agus berharap.
Credit
CNN Indonesia
