Ransomware Locky Menyerang Melalui Facebook Messenger

Facebook sebagai media sosial paling populer di muka bumi memang selalu menjadi incaran bagi para penjahat siber untuk melakukan berbagai macam aksi untuk mencari korban dengan berbagai metode, yang terbaru adalah ancaman ransomware melalui Facebook Messenger.

Jika Anda pengguna Facebook Messenger dan mendapat pesan berupa file dengan ekstensi .SVG yang dikirim oleh teman Facebook, jangan pernah coba untuk mengkliknya.

Pesan spam SVG di Facebook Messenger
Pesan spam SVG di Facebook Messenger

Jika sampai mengklik file image tersebut, peraangkat yang Anda gunakan akan langsung terinfeksi oleh ransomware Locky. Sebuah keluarga malware yang selama ini menjadi momok menakutkan bagi peselancar di internet.

Bila ransomware Locky berhasil menyusup masuk ke dalam komputer, maka saat itu juga semua file-file penting dalam hard drive akan dienkripsi kemudian mengunci layar dengan ransom note yang berisi permintaan uang tebusan sebagai imbal balik file yang disandera. Locky mengunci file menggunakan algoritma enkripsi RSA-2048 dan AES-1024.

Dalang di balik penyebaran ini adalah Nemucod sebuah malware downloader yang menjadi inang bagi berbagai jenis ransomware dan salah satunya yang paling ganas adalah Locky. Nemucod dalam aksi terbarunyaini mengambil bentuk sebagai file gambar .SVG untuk mengelabui pengguna komputer yang tentu tidak akan menduga file gambar bisa menjadi penyebaran ransomware, terlebih lagi pengirimannya melalui Facebook Messenger, karena umumnya pendistribusian ransomware melalui spam email.

File SVG atau Scalable Vector Graphic kenapa digunakan untuk penyebaran downloader malware adalah karena SVG mempunyai kemampuan untuk membawa konten embedd seperti JavaScript dan dapat dibuka di web browser modern. bahkan kode berbahaya JavaScript juga melekat dalam file gambar itu jugayang sebenarnya link ke file eksternal.

Source Code SVG
Source Code SVG

Yang apabila diklik, file gambar ini akan mengarahkan korban menuju website yang menyerupai YouTube tetapi dengan URL yang jauh berbeda. Seperti layaknya penyebaran infeksi malware, situs tersebut memunculkan popup meminta Anda mengunduh dan menginstal ekstensi codec tertentu di Google Chrome untuk melihat video. Ekstensi yang dimaksud menggunakan dua nama Ubo dan One.

fb3

Setelah terinstal, ekstensi itu akan memberikan pelaku kemampuan untuk mengubah data situs-situs yang pernah dikunjungi korban, termasuk keuntungan akses browser ke akun Facebook dan dengan diam-diam mengirim pesan ke semua teman Facebook dengan file image SVG yang sama. Selain itu ransomware Locky ikut dimasukkan ke dalam komputer korban oleh Nemucod. Dan di saat yang sama pada media sosial populer lainnya, yaitu Twitter terdeteksi ada operasi penyebaran Nemucod mengunduh Locky payload.

Menghapus Ekstensi Berbahaya

Google sejauh ini sudah menghapus ekstensi berbahaya dari Chrome Store, sementara Facebook masih belum melakukan tindakan apa pun untuk mencegah atau memblokir.

Tetapi juru bicara Facebook dalam statmennya mengatakan bahwa mereka memiliki sistem otomatis untuk menghentikan link dan file berbahaya muncul di Facebook, selain itu mereka juga menyangkal bahwa ekstensi Chrome menginstal Locky.

Bagi yang sudah terlanjur menginstal satu atau dua ekstensi berbahaya tersebut, Anda dapat menghapusnya dengan cara melalui Menu → More Tools → Extensions kemudian cari ekstensi yang dimaksud kemudian menghapusnya.

Tips Pencegahan

Peneliti ESET yang sudah sangat berpengalaman menghadapi ransomware memiliki beberapa tips untuk mencegah dan terhindar dari serangan ransomware, selain sebagai edukasi bagi mereka yang aktif di dunia maya, yaitu sebagai berikut:

  • Backup data secara teratur dan simpan salinan backup di tempat berbeda. Lalu enkripsi backup Anda sehingga tidak perlu lagi merasa kuatir jika perangkat back up jatuh ke tangan yang salah.
  • Lakukan patch dan upgrade sistem operasi dan aplikasi secara teratur. Semakin cepat melakukan patch maka semakin sedikit lubang terbuka yang bisa diekploitasi oleh penjahat dunia maya.
  • Update antivirus secara online dan terjadwal, pastikan Anda mendapatkan update terakhir dari produsen antivirus untuk menangani malware yang beredar.
  • Untuk perusahaan, gunakan antivirus dengan edisi bisnis dengan sistem management dan update terpusat untuk mempermudah management dan penanganan. Pastikan sistem management dan updatenya dapat diinstal di sistem operasi Linux Server untuk mengurangi kemungkinan terinfeksi.
  • Lakukan In Depth Scan di seluruh komputer melalui sistem manajemen antivirus.
  • Pastikan seluruh konfirgurasi proteksi sudah diset secara optimal.
  • Pastikan tidak ada komputer asing yang tidak terproteksi antivirus berada di dalam jaringan

Sumber berita:

http://thehackernews.com
http://www.bleepingcomputer.com