Ransomware, malware yang mengenkripsi file-file anda kemudian meminta uang tebusan merupakan modus kejahatan baru yang berbahaya. Terdapat berbagai macam jenis Ransomware diantaranya ada CryptoLocker, CryptoWall, CTB Locker, dll. Semuanya menggunakan algoritma enkripsi canggih dengan kunci asymmetric untuk mengenkripsi komputer. Bila file kita telah terenkripsi oleh malware ini, maka akan sangat sulit untuk mengembalikan file tersebut tanpa memiliki kuncinya. Berbagai cara coba dikembangkan para peneliti untuk menangkal ransomware. Cara terbaru untuk menangkal ransomware telah dipresentasikan oleh peneliti dari K7 Computing Mody dan Panakkal pada konferensi Virus Bulletin 2015 dengan judul Dead and Buried in their crypts: defeating modern ransomware.
Menurut Mody ransomware sulit dideteksi oleh antivirus karena menggunakan teknik packer obfuscation. Diantara packer yang digunakan ada MSIL, NSIS SFX dan VBInject. Malware ini kemudian melakukan process injection pada beberapa proses pada sistem operasi, diantaranya pada explorer.exe, svchost.exe dll. Menurut Mody langkah penting untuk menangani ransomware adalah mendeteksi sedini mungkin keberadaan ransomware sebelum malware melakukan enkripsi file, lebih cepat lebih baik.
Mendeteksi keberadaan Ransomware dilakukan dengan mendeteksi proses-proses yang ditimbulkan oleh ransomware. Ransomware umumnya mencoba melakukan overwrite data pada file system maupun disk level. Selain itu bisa dilakukan juga monitoring terhadap kejanggalan yang timbul pada OS. Pendeteksian ransomware bisa dilakukan dengan melakukan low-level system-wide interception diantaranya dengan melakukan monitoring dan intersep pada beberapa operasi berikut pada sistem: IRP_MJ_CREATE , IRP_MJ_DIRECTORY CONTROL, IRP_MJ_CREATE, IRP_MJ_CLOSE dan IRP_MJ_CLEANUP. Proses-proses diatas diperlukan malware dalam proses enkripsi file. Langkah pencegahan ini disebut contextual dynamic blocking.
Teknik ini dapat digunakan juga untuk mendeteksi ransomware pada Android seperti Simplelocker. Hanya saja berbeda dengan windows, teknik low level interception tidak dapat dilakukan pada Android. Teknik ini belum dapat menangani ransomware dengan tipe screen locker.
Semoga bermanfaat!
Abstrak papernya dapat dilihat pada link berikut:
https://www.virusbtn.com/conference/vb2015/abstracts/ModyPanakkal.xml
Slide lengkapnya dapat dilihat pada link berikkut:
https://www.virusbtn.com/pdf/conference_slides/2015/ModyPanakkal-VB2015.pdf