“Ransom” adalah kata dalam bahasa Inggris yang berarti “tebusan”. Itu sebabnya dinamakan ransomware, karena malware ini mengunci (enkripsi) file dan meminta tebusan untuk membuka kuncinya.
Ransomware punya banyak jenis berdasarkan cara penyebaran dan algoritma dalam mengenkripsi file. Namun ciri-ciri yang ditimbulkan pada komputer yang terinfeksi secara umum relatif sama, yakni sebagai berikut :
Ekstensi file hilang atau berubah menjadi aneh
Tidak seperti ekstensi file yang umum kita kenal (.doc, .xls, .jpg, .exe..), ekstensi file yang terinfeksi ransomware akan berubah menjadi aneh (.fordan atau .cerber), atau malah jadi hilang sama sekali. Dan ikon file menjadi putih.
File tidak bisa dibuka
Karena ekstensi file berubah maka file pun jadi tidak bisa dibuka (file tetap tidak bisa dibuka walaupun di rename dan diubah kembali ekstensinya menjadi semula). Akan muncul jendela seperti ini:
Ada file yang berisi instruksi untuk memberikan tebusan
File ini dinamakan Ransom File. Biasanya file berupa .txt dan diberi nama dengan huruf besar, lalu ada underscore ( _ ) di depan nama file. Seperti contoh:
“_YOUR FILES HAVE BEEN ENCRYPTED.txt”, atau
“_DECRYPT YOUR FILES.txt”.
File berisi informasi jumlah tebusan dalam dollar atau bitcoin, dan kontak hacker. File terletak ditempat yang mudah ditemukan karena tujuannya agar kita bisa memberikan tebusan ke alamat hacker. Seperti di Desktop, di direktori C:\ atau D:\, atau dalam satu folder dengan file yang terinfeksi.
Muncul Lock Screen sebelum masuk Windows
Untuk Ransomware jenis tertentu akan membuat anda tidak bisa masuk Windows karena terhalang oleh lockscreen yang berisi peringatan kalau komputer anda sudah terinfeksi dan harus menebus sejumlah uang. Ransomware jenis ini diberi istilah “Lock Screen Ransomware”.
Cara Menangani Ransomware
Cara-cara yang akan dilakukan ini adalah prioritas untuk menyelamatkan data.
Ada dua poin penting:
- Tidak ada jaminan file anda akan kembali jika anda membayar uang tebusan.
- Cara yang tertera di bawah anda lakukan dengan resiko sendiri, tidak ada jaminan akan berhasil.
Matikan Koneksi Internet dan LAN
Isolasi komputer dengan memutus koneksi dari internet dan jaringan LAN, agar virus tidak menyebar. Bisa dengan cara disable LAN di Windows atau langsung mencabut kabel LAN.
Bersihkan Ransomware Yang Ada
Gunakan anti Ransomware untuk membersihkan komputer yang terinfeksi. Anda bisa mendownload tool versi Trial dari merk ternama. Lalu jalankan di Safe Mode dengan cara restart Windows dan tekan F8 saat booting, lalu pilih Safe Mode.
Jalankan Restore Backup
Jika anda punya data Backup maka hapus saja file yang terinfeksi dan lakukan Restore dari data Backup tadi. Tetapi pastikan komputer sudah bersih dari infeksi.
Dan juga pastikan apakah data Backup anda juga terinfeksi atau tidak, dengan cara melihatnya di komputer yang sudah pasti tidak terinfeksi. Jika data sudah pasti aman baru lakukan Restore.
Direkomendasikan anda menginstall ulang Windows untuk memastikan Ransomware benar-benar terhapus, baru melakukan Restore.
Gunakan Shadow Copies
Di Windows ada fitur Shadow Copies, yaitu fitur yang bisa mengembalikan file yang sudah berubah ke keadaan sebelumnya. Caranya klik kanan pada file>Properties>Previous Versions. Pilih file yang keadaannya belum terinfeksi.
Coba Lakukan Dekripsi
Jika tidak punya data Backup, anda bisa mencoba mendekripsi file dengan menggunakan tool dekripsi gratis yang sesuai dengan Ransomware nya. Anda bisa mencari di internet dengan mengetik “[nama Ransomware] tool decryption” (contoh: “.cerber tool decryption”). Namun jika anda tidak tahu nama Ransomware nya, maka anda bisa mencarinya di situs ID Ransomware:
https://id-ransomware.malwarehunterteam.com/
Setelah anda menemukan tool dekripsinya anda bisa jalankan juga melalui Safe Mode.
Coba Lakukan Recover File Yang Terhapus
Cara kerja Ransomware secara umum adalah meng-copy file yang akan dienkripsi, baru mengenkripsi file yang di copy tersebut dan kemudian menghapus file aslinya.
Dari sini kita bisa simpulkan kalau anggap saja file kita terhapus, lalu kita bisa melakukan cara mengembalikan file yang hilang. Dan ada beberapa tool gratis yang sudah terkenal ampuh untuk mengembalikan file yang hilang seperti berikut:
-Recuva
https://www.ccleaner.com/recuva
-Shadow Explorer
https://www.shadowexplorer.com/downloads.html
Membayar Tebusan
Jika data memang benar-benar penting maka opsi ini bisa diambil dengan sebelumnya dipertimbangkan dahulu secara matang. Anda bisa menghubungi kontak yang ada di Ransom File dan membayar sesuai jumlah tebusan. Untuk meyakinkan korban, biasanya hacker memperbolehkan korban untuk memberikan salah satu file yang terinfeksi untuk di dekripsi sebagai contoh. Biasanya tidak boleh file yang penting.
Tetapi sekali lagi perlu dicatat bahwa tidak ada jaminan file anda benar-benar sembuh total setelah anda membayar tebusan.
Menginstall Ulang
Jika anda sudah melakukan semua cara diatas dan data tidak bisa kembali, maka prioritas sudah berubah dari menyelamatkan data menjadi mensterilkan komputer agar infeksi tidak menjalar, yaitu dengan cara install ulang Windows.
Cara Mencegah Ransomware
Dari sisi user relatif tidak membutuhkan cara khusus. Cukup dengan cara yang klasik tetapi harus benar-benar dilakukan, seperti:
-Update Windows secara rutin.
-Jangan sembarang mengklik link, darimana pun itu.
-Jangan sembarang membuka file
-Jangan sembarang menginstall aplikasi ilegal.
-Biasakan perilaku Safe Browsing (jangan sembarang membuka situs).
Dari sisi teknologi, disini baru harus mendapat perhatian khusus. Anda harus menggunakan Antivirus dan AntiRansomware. Karena Ransomware berbeda dari virus, tidak semua antivirus bisa menangani Ransomware.
Semoga artikel ini bermanfaat, terimakasih…
