1

Topic: Menghindari CryptoLocker atau CTB Locker

Akhir-akhir ini menjadi sosok malware yang menakutkan karena data-data pengguna dienkripsi oleh pembuat malware. Bayangkan data-data seperti file Word, PPT dan dokumen penting lainnya tidak dapat diakses.


Seringkali CryptoLocker menyebar melalui email. Oleh karena itu, berhati-hatilah dalam membuka attachment terutama file bertipe program (.exe, .scr, .pif, .cmd, .bat, .com), script (.vbs, .vbe, .js) maupun dokumen seperti .rtf.

Umumnya, jika Anda menggunakan email seperti Gmail, resiko terkena cryptolocker sangatlah minim karena Gmail memblok attachment file program. Lain cerita jika Anda menggunakan email yang memanfaatkan server kantor, belum tentu ada aturan main yang memblok attachment berupa program sehingga resiko Anda terkecoh membuka attachment/virus sangatlah tinggi.

http://s27.postimg.org/r6djojezn/Capture.png

Virus di dalam attachment belum tentu terdeteksi antivirus terbaru, karena virus di attachment biasanya hanya dibuat sebagai downloader saja, virus cryptolocker akan di download dari situs tertenu dan barulah aktif setelah proses download selesai.

Untuk dapat mengembalikan data, pembuat malware mengharuskan korban membayar sejumlah uang menggunakan mata uang seperti BitCoin. Namun, sangat disarankan untuk tidak membayar biaya tersebut karena sama sekali tidak ada jaminan data akan di decrypt untuk menjadi normal.


Pada folder My Documents terdapat instruksi mendecrypt file. Ini isi file Decrypt All Files ztmaagh.txt:

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://ohmva4gbywokzqso.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
CC2WHAX-CJ3LLOC-VRCYJCR-H4S23JT-YHRKGIA-YH36O4T-GYHXGKA-ULEYXKA
ZM3OKBJ-ATAK35N-TSIJATX-EEHWGFL-W3CWJFZ-NH6Y46I-TVROHAL-VRGQNJS
NP4W5YS-7Q7BW62-APO6YLC-2SE4WGC-2JQYFE6-7PFEELE-WH72B6Y-2KOEH5V

Follow the instructions on the server.

Sekali terkena cryptolocker/cbt locker/ransomware, dengan melihat data-data memiliki ekstensi aneh seperti menjadi .BJRNLTH, pastikan matikan koneksi Internet terlebih dahulu dan bersihkan virusnya.

Jika antivirus belum dapat mendeteksi virus, Anda dapat membersihkan secara manual dengan :
- Masuk ke regedit (klik tombol start menu dan ketik regedit pada Windows 7/8)
- Masuk ke lokasi HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
- Di sebelah kanan, cari key dengan nama acak seperti lzjolhn dan berisi lokasi di folder temporary seperti C:\Documents and Settings\Administrator\Local Settings\Temp\oyrjnae.exe (nama file juga acak)
- Hapus key ini dan file juga dapat dihapus melalui Windows Explorer
- Buka Task Manager dan cari nama file yang ada di regedit tsb, misalnya oyrjnae.exe dan pilih End Process.

Kini ransomware tidak aktif di memory. Anda dapat menggunakan program file recovery seperti Recuva. Ada peluang untuk mengembalikan data dengan program file recovery karena virus hanya menghapus file Anda secara biasa. Bayangkan jika pembuat virus menggunakan teknik wiper seperti malware pada kasus Sony.

Jika progam file recovery tidak berhasil mendeteksi file Anda, bersabarlah hingga program decryptor untuk mengembalikan program yang terenkripsi tersedia. Tidak usah install ulang atau format harddisk karena virus sudah tidak aktif atau sudah bersih dari sistem.

Selalu backup data secara berkala untuk keamanan data sehingga meminimalisir resiko jika sudah terkena cryptolocker.

2

Re: Menghindari CryptoLocker atau CTB Locker

Salah satu malware paling ngeselin dan bikin naik darah. Dulu pernah komputer teman saya kena malware ini. Wuih panik dan kelabakan, Min. Saya uda coba utak atik tetep gak bs balikin. Akhirnya maug ak mau di format ulang dkk, dan baru deh instal AV paling sensi ngdetect malware ini. Amit-amit dah kena malware ginian. Nyusahin.

3

Re: Menghindari CryptoLocker atau CTB Locker

Umumnya komputer yang terkena ransomware ini gampang dibersihkan dari memory karena tidak ada teknik stealth dsb. Hanya saja, file yang terenkripsi memang secara teknis memerlukan private key yang hanya ada pada pembuat malware.

4 (edited by araliatasha 2016-04-04 16:00:29)

Re: Menghindari CryptoLocker atau CTB Locker

Bener tuh min makin banyak email sampah yg isinya virus, sekali alamat email kita tersebar, capek dah klo ga set filter buat spam