Bagaimana cara mengetahui apakah Anda terkena ransomware palsu

Tidak seperti kebanyakan malware, ransomware tidak tersembunyi. Ini keras dan menjengkelkan, dan jika Anda telah terinfeksi, penyerang akan memberi tahu Anda dengan tegas. Bagaimanapun, mereka ingin dibayar.

"File pribadi Anda dienkripsi," pesan di komputer menyala. “Foto dokumen Anda, database, dan file penting lainnya telah dienkripsi dengan enkripsi terkuat dan kunci unik, yang dibuat untuk komputer ini.” Meskipun bahasanya mungkin berbeda, intinya sama: Jika Anda tidak membayar tebusan - biasanya dalam waktu 48 hingga 72 jam - file Anda disemprot.

Atau apakah mereka? Ada kemungkinan kecil para pelaku mungkin mencoba memalsukan Anda dan file belum dienkripsi. Meskipun bukan skenario umum, hal itu terjadi, menurut pakar industri. Daripada membayar, Anda dapat melewati pesan palsu yang menakutkan dan melanjutkan hari Anda.

“Ada sejumlah contoh di mana enkripsi sebenarnya tidak terjadi. Sebaliknya, penjahat dunia maya mengandalkan tepi rekayasa sosial dari serangan itu untuk meyakinkan orang agar membayar, ”Grayson Milbourne, direktur intelijen keamanan di Webroot memperingatkan.

Apakah itu asli atau palsu?

Hanya perlu beberapa detik untuk mengonfirmasi apakah itu infeksi nyata atau penipuan manipulasi psikologis.

Jika permintaan tebusan menyertakan nama ransomware, maka tidak ada misteri, dan Anda dalam masalah. Keluarga ransomware yang mengidentifikasi dirinya sendiri termasuk Linux.Encoder - ransomware berbasis Linux pertama - yang dengan jelas mengatakan "Dienkripsi oleh Linux.Encoder". CoinVault mengidentifikasi dirinya sendiri dengan mencantumkan alamat email dukungan. TeslaCrypt dan CTB-Locker juga di antara keluarga ransomware terkenal yang memberi tahu Anda siapa yang menyandera file Anda.

Tapi ada banyak permainan tebusan yang tidak peduli dengan nama. Misalnya, CryptoLocker hanya memperingatkan bahwa file Anda telah dienkripsi dan tidak pernah memamerkan namanya. Sebaliknya, Anda harus mencari petunjuk lain: Apakah ada alamat email dukungan? Cari di Internet untuk alamat pembayaran bitcoin atau pesan tebusan yang sebenarnya dan lihat apa yang muncul di forum atau dari peneliti keamanan.  

Jika Anda tidak dapat mengidentifikasi ransomware, ada kemungkinan ransomware itu palsu. Dalam kasus seperti itu, file Anda sebenarnya tidak dienkripsi; penyerang hanya memunculkan pesan menakutkan dan mengunci layar. Permintaan tebusan biasanya muncul di dalam jendela browser dan tidak membiarkan pengguna keluar, atau mengunci layar dan menampilkan kotak dialog yang meminta kunci enkripsi. Karena korban tidak dapat menutup pesan tersebut, maka pesan tersebut terlihat nyata.

Jika dimungkinkan untuk menutup layar menggunakan perintah tombol, seperti Alt-F4 di Windows dan Command-W di Mac OS X, permintaan tebusan adalah palsu. Atau coba mulai ulang perangkat secara paksa dan lihat apakah pesan tersebut hilang.

Ransomware cenderung mengubah nama file sebagai bagian dari proses enkripsi. Locky menambahkan ekstensi file .lock ke semua dokumen, sementara CryptXXX menggunakan ekstensi file .crypt. Lihat file dan lihat file mana yang telah dimodifikasi. Lihat apakah Anda masih dapat membukanya atau jika Anda dapat mengubah ekstensi file kembali dan membuka file. Terkadang, ekstensi file telah diubah tanpa benar-benar mengenkripsi file.

Kembali ke sistem menggunakan Linux Live CD dan cari sistem untuk melihat apakah file sebenarnya telah dipindahkan atau diganti namanya. Sebagian besar sistem operasi modern dapat mencari konten file bersama dengan nama file.

Jangan terlalu berharap terlalu tinggi

Meskipun baik untuk bersikap skeptis, jika Anda melihat permintaan tebusan, itu mungkin sah. Berkat kit crimeware yang dimuat sebelumnya dengan ransomware dan ransomware sebagai layanan, penghalang untuk masuk jauh lebih rendah. Script kiddies dan penjahat lain yang kurang teknis cenderung mencoba untuk mendukung keberhasilan geng ransomware nyata tanpa bekerja.

“Kesederhanaan membeli malware-kripto Anda dari penyedia layanan kejahatan-sebagai-layanan sekarang berarti penjahat dunia maya dapat dengan mudah menyebarkan serangan ransomware yang menggunakan enkripsi kompleks dan efektif terhadap target mereka,” kata ahli strategi keamanan siber Mimecast, Orlando Scott-Cowley .

Infeksi ransomware adalah ancaman serius dan serangan palsu relatif jarang terjadi. Tetapi sebelum Anda memulai proses membangun kembali mesin Anda untuk pulih dari infeksi ransomware, pastikan Anda tidak sedang ditipu. Hanya perlu beberapa menit.

Jika ternyata Anda telah menjadi korban oleh hal yang nyata, Anda mungkin memiliki kesempatan kecil lainnya: alat dekripsi yang tersedia untuk umum.