Seputar Tekno

Ransom32, Ransomware Pertama Berbasis JavaScript

Kasus pertama ransomware berbasis JavaScript ditemukan di awal tahun 2016 ini. Ia menggunakan framework NW.js untuk menginfeksi korbannya, sehingga ia kompatibel untuk berbagai macam sistem operasi. Berarti, tidak cuma pengguna Windows yang terancam, tetapi juga pengguna Linux dan Mac. Sekarang Ransom32 tengah marak dijual di dark web dalam bentuk ransomware-as-a-service, dengan pembayaran sebesar 25% dari keuntungan pelanggannya. Untuk sekarang, Ransom32 masih undecryptable alias tidak bisa di-dekripsi paksa.

Ransom32 Ransomware Pertama Berbasis JavaScript

Meskipun pada dasarnya JavaScript hanya beroperasi sebatas di browser saja, framework NW.js memungkinkan kontrol dan interaksi lebih lanjut terhadap sistem operasi. Sehingga, JavaScript dapat melakukan hal-hal yang dilakukan bahasa pemrograman ‘biasa’, seperti C++ dan Delphi, melalui framework NW.js. Ransom32 memanfaatkan celah tersebut guna menginfeksi komputer korban via JavaScript. Juga, karena JavaScript adalah bahasa pemrograman yang digunakan di browser-browser untuk segala sistem operasi, dan merupakan komponen internet yang sangat umum, Ransom32 pun mampu menyerang secara leluasa tanpa memilih sistem operasi tertentu, meskipun sejauh ini ia baru menyerang komputer berbasis Windows.

Ransom32 Ransomware Pertama Berbasis JavaScript 1

Lagi, Ransomware-as-a-Service
Saat ini, Ransom32 dijual di dark web dalam bentuk layanan ransomware-as-a-service, suatu bentuk layanan yang relatif baru. Tetapi, ia bukanlah yang pertama yang memulai model usaha tersebut. Sebelumnya, kita pernah membahas tentang Chimera, yang menjalankan model bisnis serupa. Tampaknya model bisnis ransomware-as-a-service akan menjadi trend utama serangan cyber untuk beberapa tahun mendatang.

Karena Ransom32 masih sangat baru, malahan merupakan ransomware pertama yang berbasis JavaScript, ia belum bisa di-dekripsi secara paksa oleh para pakar keamanan komputer maupun program keamanan anti-malware.

Metode Infeksi
Ransom32 dikirimkan kepada para korbannya dalam bentuk file RAR via email spam. File RAR ini dapat melakukan self-extract secara otomatis dan membuat sebuah shortcut di folder Startup korban dengan nama ChromeService, yang akan memastikan bahwa Ransom32 akan selalu dijalankan setiap kali komputer dinyalakan. Ransom32 kemudian mengenkripsi file-file korban yang disimpan dalam format tertentu menggunakan key 128-bit. Setiap file dienkripsi dengan key yang berbeda. Saat komputer dinyalakan kembali, korban akan melihat sebuah tampilan berisi catatan tebusan, yang meminta korban membayar menggunakan Bitcoin. Dalam catatan tersebut juga, ditampilkan dua waktu hitung mundur; yang pertama merupakan waktu hingga tarif pembayaran akan dinaikkan, sementara yang kedua merupakan waktu hingga seluruh file yang dikunci akan dihapus.

Ransom32 Ransomware Pertama Berbasis JavaScript 2

Yang menarik, pada kasus pertama Ransom32, waktu kenaikkan tarif adalah empat hari dan waktu penghapusan file adalah tujuh hari. Malware tersebut menawarkan kepada korban untuk men-dekripsi satu buah file sebagai bukti bahwa ia sungguh dapat mengembalikan file-file korban bila pembayaran dilakukan.

Pencegahan
Saat ini, belum ada cara yang efektif untuk mengobati infeksi Ransom32. Seperti pepatah “lebih baik mencegah daripada mengobati”, amat sangat bijaksana apabila Anda melakukan backup file-file penting secara rutin. Simpan file-file backup Anda secara terpisah. Misal, satu di hard disk eksternal dan satu di cloud storage. Sehingga, bila Ransom32 menyerang Anda dan Anda tidak ingin repot-repot membayar, Anda sudah memiliki file-file cadangan. Juga, seperti halnya dengan kebanyakan malware lain, pintu masuk Ransom32 ialah email spam dan situs web. Maka, jangan pernah sembarangan membuka email spam dan situs web yang tak dapat dipercaya.

Semoga bermanfaat!