Saya hanya berbagi cerita pengalaman dengan anda tentang virus yang sangat menyusahkan dan menjengkelkan saat ini, yaitu Ramsomware dengan ID online key yg menghampiri laptop saya, semua data saya terenkripsi tidak bisa dibuka lagi.
Ransomware DJVU adalah salah satu varian crypto-malware paling luas pada 2019/2020 yang dilaporkan telah mempengaruhi lebih dari setengah juta korban di seluruh dunia. Virus jahat sebagian besar didistribusikan dengan menggunakan /menyamar/menyusup sebagai aplikasi crack, keygen, patch, activator, loader dan bundle adware yang didistribusikan melalui situs penyedia software gratisan dan bajakan. Jadi anda harus sangat berhati-hati bila bertemu dengan situs-situs dan aplikasi tersebut. Dan jangan sekali2 mematikan antivirus anda saat berselancar di internet dan menjalankan program bajakan.
Ransomware adalah varian virus yang mengincar data pribadi seperti foto, dokumen, video, dsbnya untuk dienkripsi/dikunci sehingga tidak bisa dibuka lagi. Sekarang dia tidak lagi merusak/menginfeksi file aplikasi ataupun sistem (seperti Ramnit, Sality, Virut, dkk), tapi file hasil enkripsi semata-mata bertujuan agar tidak bisa dibuka dan sama sekali tidak berbahaya jika tetap disimpan. Walaupun kita klik ganda pun file itu, ia tidak akan menginfeksi ulang.
Nah karena cara kerjanya begitu, maka obatnya bukan Anti Virus, tapi sebuah tools Decryptor yg berfungsi untuk membuka kembali file yg terenkripsi oleh si ransom goblok ini.
Anti Virus yang kita gunakan hanya untuk mencegah benda-benda GOBLOK ini masuk ke kompi kita sejenis para tameng Browser Security. Hal ini yang jarang sekali kita gunakan, contohnya seperti saya yang kebobolan karena merasa nggak perlu dan SOK KENAL dengan benda-benda aneh di internet hahaha... Nah bagi anda-anda yg suka keluyuran nyari gratisan, hati-hati lue.... :D
Ramsomware ada yg mengenrkipsi/mengunci file kita menggunakan ID Offline key atau dengan Online Key.
Apa maksud Offline key dan Online key ??? Begini ceritanya…..
Jika kita telah terinveksi virus Ramsomeware, kita akan mendapatkan pesan .txt
1. PersonalID.txt yang ada di drive C:\SystemID\PersonalID.txt
2. file _readme.txt yang ada di dalam folder bersama file anda yang dienkripsi ransomware untuk mencari tahu filenya dienkripsi dengan online/offline key
Lihat gambar file yg terinfeksi di atas, itu adalah salah satu extention (*.qewe) virus ransomware dari sekian banyak extention yg dibuatnya sehingga membuat bingung banyak orang.
Di bawah ini adalah list stop ransomware:
Jika tidak termuat di dalamnya seperti .qewe punya saya di atas, berarti ransomware telah membuat extention yg baru lagi.
Lalu apa motif mereka dan apa itu ID online/offline key?
Tujuannya ada meminta uang tebusan kepada korban agar data mereka yang telah dikunci, dibalikkan lagi menjadi semula. Semuanya tertuang dalam pesan .txt yg diberikan mereka. Ini contoh pesan mereka: Setelah saya cek, ini adalah contoh ID Online Key
Ini adalah contoh ID Offline Key:
Jika berakhiran ....t1 kemungkinan DAPAT DIPULIHKAN karena dienkripsi dengan KUNCI OFFLINE. Jika file Anda dienkripsi dengan KUNCI ONLINE, varian tersebut TIDAK DAPAT DI DECRYPTOR/dipulihkan untuk saat ini, tapi simpanlah baik-baik dengan aman data-data yang telah dienkripsi tersebut beserta catatan file _readme.txt agar di kemudian hari bila ditemukan decryptornya file anda dapat dipulihkan lagi.
Untuk mengetahui apakah ID saya ini online key atau tidak, bisa diobati atau tidak, saya Upload file yg terenkripsi beserta pesan _readme.txt nya ke: https://www.emsisoft.com/ransomware-decryption-tools/
Silakan anda upload:
1. file pesan txt: _readme.txt
2. 1 file yg terenkripsi
3. Isi alamat email anda
Klik UPLOAD
Setelah saya tunggu beberapa saat, muncullah pesan ini:
Yang artinya kurang lebih seperti ini:
"Kami telah mengidentifikasi "STOP (Djvu)". Ransomware ini dapat dideskripsi dalam keadaan tertentu.
Silakan merujuk ke panduan yang sesuai untuk informasi lebih lanjut".
Artinya jenis virusnya adalah "STOP (Djvu)" / Stop Ransomware
Lalu saya merujuk keinformasi selanjutnya:
masuk ke subdomain EMSISOFT dengan meng-klik link download seperti gambar di bawah ini:
Nanti Anda akan di arahkan ke link Download nya, dan lakukan penginstalan pada PC/Laptop anda sesuai petunjuk dari Emsisoft.
Sebenarnya saya sudah sadar bahwa data saya (166Gb) tidak akan bisa kembali saat ini kecuali membayar tebusan kepada pembuat ransomware, namun tidak salahnya saya mencoba agar rasa penasaran saya menjadi hilang. Mungkin saja akan menjadi sebuah cerita yang bisa saya bagikan kepada anda untuk mulai sekarang Anda bisa berhati-hati dan membackup data anda secara berkala ke HDD eksternal. Cerita ini berakhir sampai saya berkomunikasi dengan pembuatnya.
lanjuuut....
Setelah saya Instal dan jalankan, maka inilah yang muncul:
No key for New Variant online ID: itnvSFwIH2s6b5kuGH6pEoHjGhUFOl57WnvdPyCk
Notice: this ID appears to be an online ID, decryption is impossible
Artinya kurang lebih sbb:
"Tidak ada kunci untuk ID Online varian baru: ........., ID ini tampaknya merupakan ID Online, deskripsi impossible / tidak mungkin" alias mustehel sekarang.
Apakah saya menyerah...? Belumlah... penasaran saya belum habis coy... :D
Jika data-data anda sangat penting, Silahkan coba layanan berbayar dekripsi ransomware di Australia ini https://fastdatarecovery.com.au ongkos jasanya $750 - $4000.
Aku masuk... taraaaa.....
Noh disana banyak pilihan menu yang semuanya ada tarifnya, mau cepat, mahal, mau lambat, ya agak murahan, hahaha.... Saya masuk bukannya sok mau bayar... tapi nyoba aja kali aja ada yg gratisan, ternyata ada tuh di pojok atas: FREE Ransomware Evaluation, gua klik itu :D
Jadi kita bisa mengirim 1 file terenkrip untuk kita coba secara gratis agar mereka men-descryp/ membukanya, namun kita disuruh menunggu antara 7-10 hari. yaah lama, maklum Gratis coy.... mau cepat, ya ambil paket yg lain...
Mumpung gratis, saya kirimlah 1 file excel yg barusan kemaren saya buat semalaman suntuk, capek saya buatnya yang setelah selesai, eeeh... ikut terkena ransomware Goblok ini. Pilu kawan....
Lanjuttt..., saat kita mau mengirim sampel ransome kita, kita disodor banyak kolom, ada nama, email dstnya ampe upload sampel virus kita. Isiannya kaya ini nih:
Kolom yang bertanda bintang merah (*) WAJIB di sisi, nggak boleh kosong.
File yg dikirim yaitu pesan .txt (_readme.txt) yg memuat pesan tebusan dan ID, serta 1 file sampel yg terkena ransomeware.
CAPEK MENUNGGU.... 10 HARI, Gua coba dah menghubungi pihak Ransomware, kan ada kita dikasih emailnya, kali aja dia mau berbaik hati memberikan tools Decryptornya secara gratis.
-----------------------
To get this software you need write on our e-mail:
helpmanager@mail.chReserve e-mail address to contact us:
helpdatarestore@firemail.cc
------------------------
dia juga ngasih link video yg membuktikan file kita bisa dikembalikan: https://we.tl/t-svMd2A4k89
ternyata dia menggunakan wetransfer.com untuk mengirimkan data. Seperti kita tahu, wetransfer.com adalah fasilitas pengiriman file-file yang berukuran besar kepada klien kita, mungkin bisa ampe 5 Gb dalam 1 pengiriman, NAMUN.. file tersebut otomatis akan di Delete dalam jangka waktu yang ditentukan. Kemaren tertulis 7 hari file akan di hapus, sekarang sisa 22 jam hahaha...
Semua informasi di atas bisa kita lihat di pesan _readme.txt yg muncul disekitar file kita yg terenkripsi oleh ransom.
Mulailah saya mengirim email kepada pihak penjahat ransomware, saya buatlah kata-kata singkat yang intinya "Meminta tolong untuk diberikan Decryptornya secara GRATIS dengan berbagai kata-kata yg bisa membuat mereka kasian". Saya kirim ke email: helpmanager@mail.ch
wowww..... ternyata itu bangsat responsif banget, email gua langsung dibalas....
Ternyata.. yang namanya penjahat adalah manusia-manusia yang tidak peduli dengan siapapun, dengan apapun, noh.. di atas.. permohonan kita dibalas dengan meminta duit 0,07 bitcoin = 490 USD, kampreet... ampe ngasih video tata cara make bitcoin segala hahaaa...
kalian tau nggak... berapa duit 490USD ? nih...
Tapi pesan email di atas, ada yg gua suka lho, itu ada tulisan:
"Before paying you can send 1 file for free decryption.
Send us your personal ID too.
Please note that files must NOT contain valuable information."
Send us your personal ID too.
Please note that files must NOT contain valuable information."
artinya di google translate begini:
"Sebelum membayar, Anda dapat mengirim 1 file untuk dekripsi gratis.
Kirimkan juga ID pribadi Anda kepada kami.
Harap dicatat bahwa file TIDAK boleh berisi informasi berharga."
naaah... aku kirim tuh file excel yg gue kerjakan semalaman suntuk, kesalnya kemaren minta ampun, karena setelah selesai membuat langsung kena si ransom goblok ini.
Aku sengaja lebihin mengirim 1 file (2020.RAR) lagi, kan diberi kesempatan 1 file aja, kali aja mau 2 file hahaha...
Aku kirim bersama file _readme.txt biar mereka tau ID personalnya, yg sebenarnya mereka buat sendiri untukku.
ID yg mereka berikan kepada kita itu layaknya sebuah Password yg digunakan/diinput ke tools Decryptor milik mereka untuk mengembalikan data yg terenkripsi.
mau liat Descryptor mereka..? liat videonya nanti di akhir tulisan ini.
Selang 7 menit, saya dapat balasan dan menyertakan link untuk file saya yang telah dipulihkan mereka. Yang di pulihkan adalah file excel, sedang yang satunya file RAR kayaknya nggak mau mereka hahaha...
Ternyata bener, file saya kembali dengan baik tanpa kurang suatu apapun. Itu file excel memuat rumus-rumus yg lumayan bikin kita konsen, udah kembali tanpa rusak.
Kalian bayangin saja, itu kemaren aku sangat kesal sekali, ini barang susah payah kubuat sebagai bahan biar mudah dalam mengerjakan laporan smart, e-monev, revisi hal3dipa, output di SAS dan utk keperluan lainnya. Datanya direstore dari Om-SPAN, cling.... langsung jadi semuanya, tanpa susah payah lagi merem melek liatin angka trus mengcopi satu-satu sambil pencet kalkulator :D
Karena kita berbeda anggaran di RKAKL, ya nggak bisa dibagi, formulanya cuma buat saya doang. Lagian nggak keren-keren amat, aplikasi sederhana saja dan tidak berbobot, tapi berharga buat saya hahaha.....
Lumayan... 1 data saya telah kembali, sudah cukup untuk membuat saya senang luar biasa. Lalu saya balas lagi tuh email, "ternyata file .RAR tidak bisa ya? hihihi... kan aku ngirimnya 2 file (1 excel, 1 RAR), walapun dimintanya 1 file saja hahaha...
Itu sebenarnya memancing agar dia memulihkan data RAR punya saya, itu isinya sebenarnya adalah TOR dan RAB satker saya hihihi... lumayanlah klu dia mau memulihkan, 1/2 skripsi lah tebalnya hahaha........ Tapi ternyata mereka nggak mau, dan membalas lagi, tapi isinya adalah link download data yg telah dipulihkan terdahulu (excel) dan TAGIHAN. Emang gua punya utang bikin tagihan..?
Dan saya tidak menanggapinya lagi. Ada pelajaran berharga di dalamnya, dan saya bersukur atas itu semua, kenapa..? karena sebenarnya DATA SAYA 166 Gb yg terkena Ramsomware itu saya PUNYA BACKUPNYA yang kucopy dan simpan di HDD external pada bulan Februari lalu, saya terserang Ramsomware pada bulan April, dalam jarak 1,5 bulan ini, karena musim COVID-19, jadi tidak banyak data yg saya simpan dan sebagian data tersebut kusimpan di Drive C:, karena Ramsomware TIDAK MENYERANG Drive: C tempatnya Operating System laptop/PC kita.
Ini penampakan beberapa data saya yang terkena Ramsomware, sebenarnya ada 2 drive yang terserang dengan total 166 Gb.
Dan ini Backup yang saya punya: Saya masih mempunyai data penting saya.
Jadi data saya masih aman.
PESAN YANG BISA DIAMBIL DARI SINI ADALAH, SEKARANG.............
LAKUKANLAH BACKUP DATA PENTING ANDA KE PENYIMPANAN LAIN,
TERSERAH MAU Burning ke DVD, FLASHDISK ATAU HDD EXTERNAL.
SUATU SAAT... ANDA AKAN BERSUKUR KARENANYA.
WASSALAM.
BONUS : video cara kerja decryptor ramsomware:
3 comments
commentsBang, file temen gua kena .nypd dan setelah gua utak atik decyptornya bilang ID Online.
ReplyNah, klo seumpama file yg terenkripsi tadi disimpan (nunggu versi freenya kelar maybe dari si emsisoft?) apakah masih berbahaya?
simpan saja, itu tidak berbahaya lagi meskipun di klik 2 kali (dooble klik)
ReplyBang ad ngak yg kena nama file (pandemic)
ReplyMohon maaf jika pertanyaan Anda tidak terbalas karena tidak termonitor (offline) atau keterbatasan pengetahuan saya :D