Penanganan dan Pencegahan Ransomware - IDS Digital College

Jangan Panik Hadapi Ransomware, Begini Penanganan dan Pencegahannya

Ransomware terdiri dari dua kata yakni ransom (tebusan) dan malware (virus berbahaya). Dapat dikatakan ransomware adalah sejenis malware yang menginfeksi atau menyerang perangkat pengguna. Bertujuan untuk menuntut pembayaran untuk informasi yang berhasil mereka curi, atau data yang aksesnya mereka batasi (enkripsi).

Munculnya kejahatan digital seperti ini merupakan ancaman yang serius bagi sejumlah pengguna, khususnya perusahaan yang menggunakan sistem digital untuk menyimpan berbagai data pribadi hingga sensitive lainnya.

Perusahaan yang mendapat serangan harus memutuskan antara mencoba memulihkan data melalui data cadangan (berpotensi kehilangan data penting sejak cadangan terakhir), atau membayar tebusan kepada threat actor.

Lantas bagaimana penanganan dan pencegahannya bila ransomware menyerang? Bila kondisi ini terjadi, maka yang harus dilakukan pertama adalah jangan panik. Berikut beberapa langkah penanganan dan pencegahan yang telah Kami rangkum.

Penanganan Ransomware

penanganan ransomware

Penanganan ransomware ialah dengan melakukan penelusuran untuk mengetahui penyebab data bisa terkunci. Kegiatan ini melalui beberapa tahapan sebagai berikut:

Fase Persiapan

Pada fase ini kebijakan, teknologi, produser dan sumber daya manusia yang melakukan penangan ransomware harus dipersiapkan sebaik mungkin. Kemampuan respon cepat sebuah perusahaan dalam hal ini diuji. Berikut beberapa langkah yang dapat diambil:

  1. Mempersiapkan tim baik dari internal maupun eksternal perusahaan yang tanggap menghadapi insiden siber
  2. Mempersiapkan dokumen yang membantu tim seperti dokumen prosedur penanganan, dokumen kebijakan penggunaan laptop/pc, antivirus, backup.
  3. Melakukan koordinasi dengan pihak-pihak terkait yang mendukung dalam penanganan insiden siber seperti tim aplikasi, tim pakar, tim infrastruktur dan lain-lain.
  4. Menyiapkan tools yang mampu melakukan analisis yang dapat berupa License Tools, Open Source Tools, sumber terbuka lainnya.

Fase Identifikasi dan Analisis

Langkah-langkah yang harus dilakukan dalam melakukan identifikasi dan dan analisis guna mencari sumber permasalahan sebagai berikut dilansir dari Gov-CSIRT Indonesia:

  1. Melakukan identifikasi jenis ransomware melalui cara:
  • Temukan pesan yang disampaikan oleh aplikasi Ransomware (README File). Pada file pesan tersebut berisikan alamat email penyerang dan string pesan dari ransomware.
  • Temukan jenis ekstensi dari file yang terinfeksi ransomware (misalkan *.crypt, *.cry, *.locked, dst);
  • Gunakan file Readme, Email Penyerang, dan Sampel File yang terinfeksi guna mengidentifikasi jenis Ransomware melalui sumber terbuka misalkan https://nomoreransom.org atau https://blog.emsisoft.com.
  1. Melakukan pengecekan antivirus apakah berfungsi dengan normal atau tidak. Hal ini disebabkan karena virus yang satu ini dapat menghancurkan instalasi antivirus dengan merusak executable file, melakukan pengubahan kunci registrasi hingga menonaktifkan update dari signature suatu file.
  2. Melakukan identifikasi dan analisis pada environment sistem terdampak guna mencari persistent mechanism penyerang melalui langkah sebagai berikut:
  • Menggunakan tools Process Explorer untuk melakukan identifikasi Malicious Process yang sedang berjalan di sistem komputer. Aplikasi Process Explorer dapat diaktifkan dan terkoneksi secara langsung pada VirusTotal.com untuk dilakukan Process Scanning dengan antivirus yang terdaftar.
  • Menggunakan tools Netstat untuk melakukan identifikasi Malicious Connection baik dengan status Listening, Established, SYN_SENT.
  • Melakukan identifikasi dan analisis browser history, registry, aplikasi startup yang digunakan melalui Tools Autoruns guna identifikasi Malicious Activity dan Persistent Mechanism pada sistem terdampak
  • Melakukan identifikasi dan analisis sistem log untuk mencari riwayat penyerang dalam melakukan penyerangan pada sistem.
  1. Melakukan identifikasi dan analisis pada sistem jaringan komunikasi untuk mengetahui Lateral Movement dari penyerang dengan melakukan implementasi daftar indikasi kebocoran (indicator of compromise) pada perimeter keamanan seperti Firewall, Network IDS, Host IDS.

Fase Penahanan

Fase ini bertujuan untuk membatasi penyebaran infeksi ransomware lebih lanjut. Langkah-langkah yang bisa dilakukan antara lain:

  1. Melakukan pemisahan atau isolasi sistem atau data yang terindikasi memiliki ancaman serupa dengan cara menutup akses ke jaringan.
  2. Mengubah konfigurasi routing table pada Firewall bertujuan untuk memisahkan sistem yang terinfeksi dengan yang lainnya.
  3. Melakukan backup data pada sistem
  4. Melakukan identifikasi gejala ringan sedini mungkin.

 Fase Penghapusan

Adapun proses-proses yang dilakukan pada tahapan ini adalah sebagai berikut:

  1. Menghentikan proses yang terindikasi merupakan serangan ransomware
  2. Menghapus auto start process yang terlihat mencurigakan oleh aplikasi autostart
  3. Menghapus pengguna yang tidak dikenali guna meminimalisir malware yang masuk
  4. Lakukan full scanning pada sistem dengan menggunakan antivirus yang telah diperbarui

Fase Pemulihan

Tahapan ini merupakan tahapan pemulihan sistem terdampak ke kondisi normal, melalui beberapa langkah antara lain:

  1. Menggunakan decryption tools pada file terdampak
  2. Melakukan validasi sistem guna memastikan aplikasi yang terinfeksi sudah kembali ke kondisi normal (tidak terinfeksi).
  3. Melakukan monitoring, memperhatikan akses lalu lintas jaringan
  4. Bila sistem yang diserang tidak bisa diperbaiki atau rusak, maka sistem dibangun ulang melalui backup data terakhir
  5. Melakukan update antivirus

Fase Tindak Lanjut

Fase ini merupakan fase dimana semua kegiatan dicatat guna melakukan pencegahan dimasa mendatang antara lain:

  1. Membuat dokumentasi penangan siber atau langkah-langkah dari hasil yang telah didapatkan
  2. Membuat analisa dari kasus yang telah terjadi
  3. Menuliskan bukti-bukti hukum, guna menjerat pelaku kejahatan
  4. Melakukan evaluasi dan rekomendasi

Pencegahan Ransomware

Untuk mencegah terjadinya insiden ransomware, berikut beberapa tips yang bisa dilakukan:

Pastikan komputer mendapatkan patch terbaru atau pembaruan terbaru

Dalam hal ini, untuk melakukan aktivasi fitur “Windows Update”. Fitur ini akan terus memeriksa pembaruan terbaru data sistem komputer. Dianjurkan melakukan backup terlebih dahulu sebelum melakukan pembaruan sistem, guna mencegah kerusakan atau error pada saat melakukan instalasi.

Menggunakan antivirus terbaru untuk melakukan scanning

Windows Defender adalah antivirus bawaan sistem komputer Windows. Antivirus ini sangat membantu untuk mendeteksi virus-virus yang mengancam sistem komputer. Pastikan melakukan scanning dan pembaruan antivirus.

Waspada pada link yang mencurigakan

Selalu waspada bila mendapatkan email spam yang berisikan sebuah link yang dinilai mencurigakan. Cek terlebih dahulu menggunakan aplikasi VirusTotal untuk mengidentifikasikan link tersebut.

Selalu mengaktifkan Firewall

Tips selanjutnya guna mencegah terjadinya serangan ransomware adalah selalu mengaktifkan Firewall. Fitur ini mengontrol koneksi yang ingin mencoba masuk.

Mengaktifkan fitur “safe browsing” pada browser yang digunakan

Fitur Safe Browsing Google dapat memeriksa sejumlah atau bahkan milyaran situs yang tidak aman atau mencurigakan. Jika mengakses situs yang tidak aman, google nantinya akan menampilkan notifikasi dan menelusuri apakah situs tersebut berbahaya untuk dikunjungi.

Melakukan backup secara berkala

Tips terakhir untuk mencegah terjadinya insiden ransomware adalah melakukan backup secara berkala. Sehingga, bila terjadi kerusakan data dapat dilakukan restore dari pada sistem terakhir backup.

Posted in: News



    error

    Enjoy this blog? Please spread the word :)

    WhatsApp chat