Selamat datang, disini Anda dapat bertanya segala hal tentang penggunaan Antivirus Smadav, konsultasi virus, kesalahan program (bug), cara penggunaan, kritik/saran, dll.

Pertanyaan akan dijawab langsung oleh Tim Smadav

Terkena Virus Ransomware? Baca Ini Dulu Sebelum Melakukan Konsultasi! [ditutup]

+5 suara
2,901 tayangan

Ransomware sangat membingungkan untuk orang awam. Butuh Searching Google berhari-hari untuk menemukan solusinya bagi yang tidak mengikuti perkembangan Ransomware dari awal. Banyak yang salah kaprah dan banyak juga yang salah tindakan. Agar tidak membuang waktu Anda, topik ini dibuat agar Anda tidak lagi perlu Googling ke sana kemari, bahkan bagi Anda yang tidak mengikuti perkembangan Ransomware dari awal.

Ransomware adalah varian virus terbaru sejak tahun 2013. Tidak lagi merusak/menginfeksi file aplikasi ataupun sistem, Ransomware mengincar data pribadi seperti foto, dokumen, video, dsbnya untuk dienrkipsi/dikunci sehingga tidak bisa dibuka lagi.

File hasil enkripsi berbeda dengan file hasil infeksi (seperti Ramnit, Sality, Virut, dkk).

Jika file hasil infeksi dibuka maka akan otomatis menjalankan induk virus tersebut. Jadi, penginfeksian bertujuan untuk mempertahankan diri ataupun menginfeksi sistem lain yang masih sehat.

Berbeda dengan itu, file hasil enkripsi semata-mata bertujuan agar tidak bisa dibuka dan sama sekali tidak berbahaya jika tetap disimpan. Membuka file hasil enkripsi secara klik ganda tidak akan mengakibatkan infeksi ulang.

Lalu, apa motif si pembuat Ransomware?

Tujuannya ada meminta uang tebusan kepada korban agar data mereka yang telah dikunci, dibalikkan lagi menjadi semula. Hanya itu saja motif yang mempertahankan mereka untuk terus membuat virus seperti ini. Pembayaran tebusan ke mereka hanya akan meningkatkan lagi motivasi bagi para pembuat Ransomware sehingga lebih giat lagi dalam menjalankan aksinya.

Sampai detik ini, tidak ada jaminan bahwa data akan dikembalikan seutuhnya ketika membayar uang tebusan.

Beberapa istilah yang perlu dipahami dalam kasus Ransomware:

  • Enkripsi: Proses penguncian suatu file/data menjadi tidak tidak bisa dibuka.
  • Dekripsi: Proses pengembalian file/data yang telah terenkripsi menjadi semula.
  • Key: Informasi/Parameter yang digunakan dalam proses Enkripsi maupun Dekripsi. Key dapat diibaratkan sebagai sebuah Password.
  • Metode Enkripsi: Metode yang dipakai pada tahap pengenrkipsian. Ada beberapa metode yang dipakai seperti: AES, RSA, dsbnya..
  • Decryptor: Suatu Tools/Program untuk melakukan proses dekripsi dengan Key yang sudah didapat.
  • Ransom Note: Catatan/Notes yang ditinggalkan di dalam setiap folder dan setiap komputer korban. Di dalamnya berisi prosedur membayar uang tebusan.

Jadi, untuk mengembalikan data yang telah dikunci, kita butuh Decryptor (bukan AntiVirus karena sampai sekarang belum ada AntiVirus yang bisa melakukan proses dekripsi). Decryptor dibuat oleh para ahli yang dengan sukarela.

Varian virus Ransomware sangat banyak jenisnya. Ada yang sudah ada Decryptornya dan ada yang belum.

Jadi, pertama sekali Anda perlu mengidentifikasi apa jenis Ransomware di dalam sistem Anda, barulah mencari informasi apakah sudah ada Decryptornya atau belum. Jika sudah ada, Download dari mana dan bagaimana cara menjalankannya? Jika belum ada Decryptor, apa yang harus dilakukan dan bagaimana agar tidak ketinggalan berita?

Mengenal Jenis Ransomware

Tidak perlu Googling sana sini. Cukup mudah mengidentifikasi jenis Ransomware. Kunjungi ID Ransomware, Upload salah satu file yang terenkripsi dan salah satu Ransom Note. Dan akan keluar hasil mengenai apa jenis Ransomware dan bagaimana cara mendekripsinya jika sudah ketemu caranya. Jika ingin melakukan konsultasi tentang cara penderkipsian yang dilampirkan ID Ransonware ini, lampirkan Screen Shot hasilnya juga.

Jika memang hasil dari sana dikatakan bahwa belum ada cara untuk melakukan dekripsi, tidak perlu membuang-buang waktu untuk Googling lagi. Tidak akan ada yang berhasil karena informasi yang Anda terima itu sudah paling Update di saat itu juga. Googling hanya akan mengarahkan Anda ke Decryptor palsu pembawa virus lain seperti Adware, dkk.

Sebagian jenis Ransomware sangat mudah diidentifikasi tanpa harus mengunjungi ID Ransomware. Seperti virus Locky, Zepto, Odin, Cerber, GandCrab, Ransomed@India.com yang memiliki ciri khas pada ekstensi file yang terenkripsi.

Apakah Induk Virus Ransomwarenya Masih Ada?

Calm Down! Bersabarlah sejenak, setelah mengetahui apa jenis Ransomwarenya, jangan langsung buru-buru ke proses Dekripsi. Sebagian besar Ransomware memang memusnahkan dirinya setelah selesai beraksi, data yang baru masuk tidak akan terkunci lagi.

Tetapi ada satu jenis Ransomware yang akan tetap ada sampai dirinya benar-benar dihapus. Dia akan tetap mengenkripsi file-file yang baru masuk dan bahkan menyebarkan induknya lewat USB dan Network Sharing Drive. Dialah Cerber 3 dan Cerber 4.

Jika Anda terkena Cerber, perlu Anda ketahui, sampai sekarang belum ada Decryptornya. Silahkan melakukan konsultasi pada forum ini terlebih dahulu. Jika sudah bersih barulah menunggu Decryptornya.

Bagaimana Jika Belum Ada Decryptornya?

Jika memang belum ada, pantau saja forum Bleeping Computer, lengkap beserta indeksnya. Tidak perlu percaya dengan isi artikel dari website lain mengenai sudah ditemukannya suatu proses pendekripsian terhadap satu jenis Ransomware, sebagian hanya hoax dan cuma iklan produk ataupun mencari Traffic saja. Semua informasi yang paling Update hanya ada di Bleeping Computer. Tidak ada forum ataupun Website yang lebih tahu daripada mereka. Jika ternyata sudah ada Decryptornya, akan dikabari di sana dan juga akan ditaruh di Headline.

Selagi menunggu kabar baik Decryptornya, Anda bisa mencoba melakukan Recovery dengan Program seperti R-Studio dan PhotoRec.

ditutup dengan catatan: For Tutorial Only
ditanyakan 14 Okt 2016 oleh Kiamhu (115,190 poin)
ditutup 2 Okt oleh Pendik Asyik

6 Jawaban

0 suara

Bagaimana Jika Install Ulang?

Perlu diketahui bahwa setelah Install ulang, data yang terenrkipsi akan tetap seperti itu. Pada beberapa kasus Ransomware, key ditinggalkan ke dalam komputer korban. Seperti penjelasan di atas bahwa key diperlukan untuk proses dekripsi. Jika key hilang akibat Install ulang, proses dekripsi akan gagal walaupun sudah ada Decryptornya.

Pada beberapa kasus, key memang tidak ditinggalkan di dalam komputer korban tetapi informasi yang ditinggal di dalam komputer (File ataupun Registry) itu bisa mengarahkan untuk mendapatkan key-nya kelak. So, disarankan jangan Install ulang. Bukankah sebagian besar Ransomware akan memusnahkan dirinya setelah selesai melakukan enkripsi? Kenapa harus panik dan Install ulang?

Takut virus masih ada jika tidak install ulang? Konsultasi saja di sini, kami ada untuk Anda.

Jika terpaksa melakukan Install Ulang, baca pedoman yang Saya kutip dari Global Moderator (quietman7) di Bleeping Computer:



In most cases wiping the drive clean, reformatting and reinstalling the OS...with your Windows CD/DVD installation disk, a disk image or factory restore (system recovery) disks provided by the manufacturer will remove the malware.

A "factory restore" essentially reformats your hard drive, removes all data and restores the computer to the state it was in when you first purchased it. Most computers manufactured and sold by OEM vendors come with a vendor-specific Recovery Disk or Recovery Partition for performing a clean "factory restore". Some factory restore partitions/partitions/disks give you all the options of a full Microsoft Windows CD, but with better instructions and the convenience of having all the right hardware drivers. Others can do nothing except reformat your hard drive and restore it to the condition it was in when you bought the computer. Either way, you will need to reinstall any programs that did not come preinstalled with your computer and run Windows update to redownload all critical patches.

However, before doing so you should create a copy or image of the entire hard drive. Doing that allows you to save the complete state of your system (and all encrypted data) in the event that a free decryption solution is developed in the future. In some cases, there may be decryption tools available but there is no guarantee they will work properly since the malware writers keep releasing new variants in order to defeat the efforts of security researchers.

Imaging the drive backs up everything related to the infection including encrypted files, ransom notes and registry entries containing possible information which may be needed if a solution is ever discovered. The encrypted files do not contain malicious code so they are safe. Even if a decryption tool is available, they do not always work correctly so keeping a backup of the original encrypted files and related information is a good practice.



Dalam kebanyakan kasus, menghapus drive, membersihkan, memformat ulang, dan menginstal ulang OS ... dengan disk instalasi Windows CD / DVD, disk image atau pemulihan pabrik (pemulihan sistem) disk yang disediakan oleh pabrik akan menghapus malware.

"Pemulihan pabrik" pada dasarnya memformat ulang hard drive Anda, menghapus semua data dan mengembalikan komputer ke kondisi saat Anda pertama kali membelinya. Sebagian besar komputer yang diproduksi dan dijual oleh vendor OEM dilengkapi dengan Disk Pemulihan khusus atau Partisi Pemulihan khusus untuk melakukan "pengembalian pabrik" yang bersih. Beberapa pabrik mengembalikan partisi / partisi / disk memberi Anda semua opsi dari CD Microsoft Windows lengkap, tetapi dengan instruksi yang lebih baik dan kenyamanan memiliki semua driver perangkat keras yang tepat. Orang lain tidak dapat melakukan apapun selain memformat ulang hard drive Anda dan mengembalikannya ke kondisi saat Anda membeli komputer. Either way, Anda akan perlu menginstal ulang semua program yang tidak datang terinstal dengan komputer Anda dan menjalankan pembaruan Windows untuk mengunduhnya semua patch kritis.

Namun, sebelum melakukannya Anda harus membuat salinan atau gambar dari seluruh hard drive. Melakukan hal itu memungkinkan Anda untuk menyimpan status lengkap sistem Anda (dan semua data terenkripsi) jika suatu solusi dekripsi bebas dikembangkan di masa depan. Dalam beberapa kasus, mungkin ada alat dekripsi yang tersedia tetapi tidak ada jaminan mereka akan berfungsi dengan baik karena penulis malware terus merilis varian baru untuk mengalahkan upaya para peneliti keamanan.

Imaging drive mendukung segala sesuatu yang berkaitan dengan infeksi termasuk file yang dienkripsi, catatan tebusan dan entri registri yang berisi informasi yang mungkin diperlukan jika solusi pernah ditemukan. File yang dienkripsi tidak mengandung kode berbahaya sehingga aman. Bahkan jika alat dekripsi tersedia, mereka tidak selalu berfungsi dengan benar sehingga menyimpan cadangan file terenkripsi asli dan informasi terkait adalah praktik yang baik

dijawab 14 Okt 2016 oleh Kiamhu (115,190 poin)
diedit 30 Mei oleh Pendik Asyik
0 suara

Dapatkah Data yang Terenkripsi Dapat Sepenuhnya Normal Kembali?

Berikut yang Saya kutip (masih dari quietman7):



Some ransomware victims have reported they paid the ransom and were successful in decrypting their data. Other victims reported they paid the ransom but the cyber-criminals did not provide a decryptor or a key to decrypt the files, while others reported the key and decryption software they received did not work or resulted in errors. Still others have reported paying the ransom only to discover the criminals wanted more money or threatened to expose data unless additional payment was made. Most cyber-criminals provide instructions in the ransom note that allow their victims to submit one or two limited size files for free decryption as proof they can decrypt the files. However, decryption in bulk may not always work properly or work at all.

There is never a guarantee decryption will be successful or that the decrypter provided by the cyber-criminals will work as they claim and using a faulty or incorrect decryptor may damage or corrupt the files. The criminals may even send you something containing more malware...so why should you trust anything provided by those who infected you in the first place. In some cases victims may actually be dealing with scam ransomware where the malware writers have no intention or capability of decrypting files after the ransom is paid.



Beberapa korban ransomware telah melaporkan bahwa mereka membayar tebusan dan berhasil mendekripsi data mereka. Korban lain melaporkan bahwa mereka membayar uang tebusan tetapi para penjahat cyber tidak menyediakan dekripsi atau kunci untuk mendekripsi file, sementara yang lain melaporkan bahwa perangkat lunak kunci dan dekripsi yang mereka terima tidak berfungsi atau mengakibatkan kesalahan. Yang lain lagi telah melaporkan membayar tebusan hanya untuk menemukan para penjahat menginginkan lebih banyak uang atau mengancam untuk mengekspos data kecuali pembayaran tambahan dilakukan. Kebanyakan penjahat cyber memberikan instruksi dalam catatan tebusan yang memungkinkan korban mereka untuk mengirimkan satu atau dua file ukuran terbatas untuk dekripsi gratis sebagai bukti bahwa mereka dapat mendekripsi file. Namun, dekripsi dalam jumlah besar tidak selalu berfungsi dengan baik atau bekerja sama sekali.

Tidak pernah ada jaminan dekripsi akan berhasil atau bahwa decrypter yang disediakan oleh penjahat cyber akan bekerja karena mereka mengklaim dan menggunakan dekripsi rusak atau salah dapat merusak atau merusak file. Para penjahat bahkan mungkin mengirimi Anda sesuatu yang mengandung lebih banyak malware ... jadi mengapa Anda harus mempercayai apa pun yang diberikan oleh orang-orang yang menginfeksi Anda di tempat pertama. Dalam beberapa kasus, korban mungkin sebenarnya berurusan dengan scam ransomware di mana para pembuat malware tidak memiliki niat atau kemampuan untuk mendekripsi file setelah tebusan dibayarkan.

Jadi, tidak ada jaminan data dapat dikembalikan jika sudah membayar.

dijawab 25 Jan 2017 oleh Kiamhu (115,190 poin)
diedit 30 Mei oleh Pendik Asyik
0 suara

Ransomware Terbaru ransomed@india.com

Saya sudah mengumpulkan sampel File yang terenkripsi (dari berbagai korban termasuk pengguna Smadav) langsung ke forum Bleeping, sudah ditanggapi dan sampai sekarang belum ada Decryptornya, pantau saja kabar baiknya di sini: https://www.bleepingcomputer.com/forums/t/635859/crypton-ransomware-support-help-topic-id-number-x3m-locked-r9oj/page-31#entry4499337

dijawab 30 Mei oleh Kiamhu (115,190 poin)
0 suara

Gabungkan AntiVirus Luar dengan Smadav

Hampir semua kasus virus Ransomware itu menyerang sistem yang belum punya AntiVirus utama sama sekali. Jadi pelajaran bagi kita adalah gabungkan AntiVirus utama dengan Smadav. Jangan hanya mengandalkan Smadav saja. Anda bisa memilih beberapa diantaranya: 

1. Avast Antivirus,

2. Avira Antivirus,

3. Bitdefender Antivirus,

4. Eset NOD32 Antivirus,

5. Kaspersky Antivirus,

6. Trend Micro,

7. MalwareBytes Antivirus,

8. AVG Antivirus,

9. dan sebagainya.

dijawab 31 Mei oleh Kiamhu (115,190 poin)
diedit 31 Mei oleh Pendik Asyik
Avast Antivirus,. Bitdefender Antivirus,. Eset NOD32 Antivirus,. Kaspersky Antivirus,. Trend Micro,. MalwareBytes Antivirus,. AVG Antivirus,

antivirus yang di sebut kan di atas itu tidak memblokir ransomeware jika versi free kecuali Avira

dalam kasus serangan ransomeware saya liat banyak si korban justru memiliki antivirus dengan list yang di sebut di atas dengan fersi free

lalu kekuatan antivirus indonesia disini di butuhkan alasan nya mungkin karena murah karena bahkan pengguna smadav maksud nya saya berharap
smadav di kembangkan lagi agar bisa bersaing
Bagaimana Saudara bisa tahu AntiVirus di atas tidak memblokir Ransomware? Anda pernah mengumpulkan sampel Ransomware dan menjalankannya langsung di sistem yang diproteksi AntiVirus tersebut?

Harus diperhatikan bahwa AntiVirus pada komputer korban itu di-Install setelah atau sebelum virus Ransomware tersebut masuk?
langkah pertama kunjungi situs nya dan cari tahu perbedaan fersi free dengan fersi pro nya

contoh:

https://www.avast.com/id-id/compare-antivirus

karena disana ransomeware shild tidak di contreng
Ada tidaknya fitur anti Ransomware bukan berarti tidak bisa mencegah/memblokir Ransomware. Karena antivirus masih bisa mengenali sample Ransomware secara signature dan Heuristic.

Fitur anti Ransomware itu sbg pertahanan akhir jika lolos dari signature ataupun Heuristic.
ok terimakasi kurasa itu sangat membantu
0 suara

Ransomware Terbaru GandCrab

GandCrab Versi 1 yang menggunakan ekstensi .GDCB sudah ada Decryptornya: https://www.bleepingcomputer.com/news/security/free-decrypter-available-for-gandcrab-ransomware-victims/

Sedangkan GandCrab Versi 2 yang menggunakan ekstensi .CRAB belum ada Decryptornya.

GrandCrab versi 3 masih menggunakan ekstensi .CRAB. Juga belum ada Decryptornya.

GrandCrab versi 4 menggunakan ekstensi .KRAB. Juga belum ada Decryptornya.

GrandCrab versi 5 menggunakan ekstensi acak, belum ada Decryptornya.

Untuk versi 2 sampai dengan 5, silahkan pantau kabar baiknya di sini: https://www.bleepingcomputer.com/forums/t/669484/gandcrab-ransomware-help-support-topic-gdcb-crab-crab-decrypttxt/

dijawab 4 Agu oleh Kiamhu (115,190 poin)
diedit 1 Okt oleh Kiamhu
0 suara
Cara mencegah serangan Ransomware:
1. https://www.bleepingcomputer.com/news/security/how-to-protect-and-harden-a-computer-against-ransomware/
2. Tools mantap untuk mencegah infeksi ransomware yang belum dikenal, mencegah penyebaran virus usb yang belum dikenal, sangat bagus bila disandingkan dengan Smadav. Silahkan download disini https://www.novirusthanks.org/products/osarmor/
dijawab 1 Okt oleh Kiamhu (115,190 poin)
diedit 2 Okt oleh Pendik Asyik
...