Saya hanya berbagi cerita pengalaman dengan anda tentang virus yang sangat menyusahkan dan menjengkelkan saat ini, yaitu Ramsomware dengan ID online key yg menghampiri laptop saya, semua data saya terenkripsi tidak bisa dibuka lagi.
Ransomware DJVU adalah salah satu varian crypto-malware paling luas pada 2019/2020 yang dilaporkan telah mempengaruhi lebih dari setengah juta korban di seluruh dunia. Virus jahat sebagian besar didistribusikan dengan menggunakan /menyamar/menyusup sebagai aplikasi crack, keygen, patch, activator, loader dan bundle adware yang didistribusikan melalui situs penyedia software gratisan dan bajakan. Jadi anda harus sangat berhati-hati bila bertemu dengan situs-situs dan aplikasi tersebut. Dan jangan sekali2 mematikan antivirus anda saat berselancar di internet dan menjalankan program bajakan.
Ransomware adalah varian virus yang mengincar data pribadi seperti foto, dokumen, video, dsbnya untuk dienkripsi/dikunci sehingga tidak bisa dibuka lagi. Sekarang dia tidak lagi merusak/menginfeksi file aplikasi ataupun sistem (seperti Ramnit, Sality, Virut, dkk), tapi file hasil enkripsi semata-mata bertujuan agar tidak bisa dibuka dan sama sekali tidak berbahaya jika tetap disimpan. Walaupun kita klik ganda pun file itu, ia tidak akan menginfeksi ulang.
Nah karena cara kerjanya begitu, maka obatnya bukan Anti Virus, tapi sebuah tools Decryptor yg berfungsi untuk membuka kembali file yg terenkripsi oleh si ransom goblok ini.
Anti Virus yang kita gunakan hanya untuk mencegah benda-benda GOBLOK ini masuk ke kompi kita sejenis para tameng Browser Security. Hal ini yang jarang sekali kita gunakan, contohnya seperti saya yang kebobolan karena merasa nggak perlu dan SOK KENAL dengan benda-benda aneh di internet hahaha... Nah bagi anda-anda yg suka keluyuran nyari gratisan, hati-hati lue.... :D
Ramsomware ada yg mengenrkipsi/mengunci file kita menggunakan ID Offline key atau dengan Online Key.
Apa maksud Offline key dan Online key ??? Begini ceritanya…..
Jika kita telah terinveksi virus Ramsomeware, kita akan mendapatkan pesan .txt
1. PersonalID.txt yang ada di drive C:\SystemID\PersonalID.txt
2. file _readme.txt yang ada di dalam folder bersama file anda yang dienkripsi ransomware untuk mencari tahu filenya dienkripsi dengan online/offline key
Lihat gambar file yg terinfeksi di atas, itu adalah salah satu extention (*.qewe) virus ransomware dari sekian banyak extention yg dibuatnya sehingga membuat bingung banyak orang.
Di bawah ini adalah list stop ransomware:
Jika tidak termuat di dalamnya seperti .qewe punya saya di atas, berarti ransomware telah membuat extention yg baru lagi.
Lalu apa motif mereka dan apa itu ID online/offline key?
Tujuannya ada meminta uang tebusan kepada korban agar data mereka yang telah dikunci, dibalikkan lagi menjadi semula. Semuanya tertuang dalam pesan .txt yg diberikan mereka. Ini contoh pesan mereka: Setelah saya cek, ini adalah contoh ID Online Key
Ini adalah contoh ID Offline Key:
Jika berakhiran ....t1 kemungkinan DAPAT DIPULIHKAN karena dienkripsi dengan KUNCI OFFLINE. Jika file Anda dienkripsi dengan KUNCI ONLINE, varian tersebut TIDAK DAPAT DI DECRYPTOR/dipulihkan untuk saat ini, tapi simpanlah baik-baik dengan aman data-data yang telah dienkripsi tersebut beserta catatan file _readme.txt agar di kemudian hari bila ditemukan decryptornya file anda dapat dipulihkan lagi.
Untuk mengetahui apakah ID saya ini online key atau tidak, bisa diobati atau tidak, saya Upload file yg terenkripsi beserta pesan _readme.txt nya ke: https://www.emsisoft.com/ransomware-decryption-tools/
Silakan anda upload:
1. file pesan txt: _readme.txt
2. 1 file yg terenkripsi
3. Isi alamat email anda
Klik UPLOAD
Setelah saya tunggu beberapa saat, muncullah pesan ini:
Yang artinya kurang lebih seperti ini:
"Kami telah mengidentifikasi "STOP (Djvu)". Ransomware ini dapat dideskripsi dalam keadaan tertentu.
Silakan merujuk ke panduan yang sesuai untuk informasi lebih lanjut".
Artinya jenis virusnya adalah "STOP (Djvu)" / Stop Ransomware
Lalu saya merujuk keinformasi selanjutnya:
masuk ke subdomain EMSISOFT dengan meng-klik link download seperti gambar di bawah ini:
Nanti Anda akan di arahkan ke link Download nya, dan lakukan penginstalan pada PC/Laptop anda sesuai petunjuk dari Emsisoft.
Sebenarnya saya sudah sadar bahwa data saya (166Gb) tidak akan bisa kembali saat ini kecuali membayar tebusan kepada pembuat ransomware, namun tidak salahnya saya mencoba agar rasa penasaran saya menjadi hilang. Mungkin saja akan menjadi sebuah cerita yang bisa saya bagikan kepada anda untuk mulai sekarang Anda bisa berhati-hati dan membackup data anda secara berkala ke HDD eksternal. Cerita ini berakhir sampai saya berkomunikasi dengan pembuatnya.
lanjuuut....
Setelah saya Instal dan jalankan, maka inilah yang muncul:
No key for New Variant online ID: itnvSFwIH2s6b5kuGH6pEoHjGhUFOl57WnvdPyCk
Notice: this ID appears to be an online ID, decryption is impossible
Artinya kurang lebih sbb:
"Tidak ada kunci untuk ID Online varian baru: ........., ID ini tampaknya merupakan ID Online, deskripsi impossible / tidak mungkin" alias mustehel sekarang.
Apakah saya menyerah...? Belumlah... penasaran saya belum habis coy... :D
Jika data-data anda sangat penting, Silahkan coba layanan berbayar dekripsi ransomware di Australia ini https://fastdatarecovery.com.au ongkos jasanya $750 - $4000.
Aku masuk... taraaaa.....
Noh disana banyak pilihan menu yang semuanya ada tarifnya, mau cepat, mahal, mau lambat, ya agak murahan, hahaha.... Saya masuk bukannya sok mau bayar... tapi nyoba aja kali aja ada yg gratisan, ternyata ada tuh di pojok atas: FREE Ransomware Evaluation, gua klik itu :D
Jadi kita bisa mengirim 1 file terenkrip untuk kita coba secara gratis agar mereka men-descryp/ membukanya, namun kita disuruh menunggu antara 7-10 hari. yaah lama, maklum Gratis coy.... mau cepat, ya ambil paket yg lain...
Mumpung gratis, saya kirimlah 1 file excel yg barusan kemaren saya buat semalaman suntuk, capek saya buatnya yang setelah selesai, eeeh... ikut terkena ransomware Goblok ini. Pilu kawan....
Lanjuttt..., saat kita mau mengirim sampel ransome kita, kita disodor banyak kolom, ada nama, email dstnya ampe upload sampel virus kita. Isiannya kaya ini nih:
Kolom yang bertanda bintang merah (*) WAJIB di sisi, nggak boleh kosong.
File yg dikirim yaitu pesan .txt (_readme.txt) yg memuat pesan tebusan dan ID, serta 1 file sampel yg terkena ransomeware.
CAPEK MENUNGGU.... 10 HARI, Gua coba dah menghubungi pihak Ransomware, kan ada kita dikasih emailnya, kali aja dia mau berbaik hati memberikan tools Decryptornya secara gratis.
-----------------------
To get this software you need write on our e-mail:
helpmanager@mail.chReserve e-mail address to contact us:
helpdatarestore@firemail.cc
------------------------
dia juga ngasih link video yg membuktikan file kita bisa dikembalikan: https://we.tl/t-svMd2A4k89
ternyata dia menggunakan wetransfer.com untuk mengirimkan data. Seperti kita tahu, wetransfer.com adalah fasilitas pengiriman file-file yang berukuran besar kepada klien kita, mungkin bisa ampe 5 Gb dalam 1 pengiriman, NAMUN.. file tersebut otomatis akan di Delete dalam jangka waktu yang ditentukan. Kemaren tertulis 7 hari file akan di hapus, sekarang sisa 22 jam hahaha...
Semua informasi di atas bisa kita lihat di pesan _readme.txt yg muncul disekitar file kita yg terenkripsi oleh ransom.
Mulailah saya mengirim email kepada pihak penjahat ransomware, saya buatlah kata-kata singkat yang intinya "Meminta tolong untuk diberikan Decryptornya secara GRATIS dengan berbagai kata-kata yg bisa membuat mereka kasian". Saya kirim ke email: helpmanager@mail.ch
wowww..... ternyata itu bangsat responsif banget, email gua langsung dibalas....
Ternyata.. yang namanya penjahat adalah manusia-manusia yang tidak peduli dengan siapapun, dengan apapun, noh.. di atas.. permohonan kita dibalas dengan meminta duit 0,07 bitcoin = 490 USD, kampreet... ampe ngasih video tata cara make bitcoin segala hahaaa...
kalian tau nggak... berapa duit 490USD ? nih...
Tapi pesan email di atas, ada yg gua suka lho, itu ada tulisan:
"Before paying you can send 1 file for free decryption.
Send us your personal ID too.
Please note that files must NOT contain valuable information."
Send us your personal ID too.
Please note that files must NOT contain valuable information."
artinya di google translate begini:
"Sebelum membayar, Anda dapat mengirim 1 file untuk dekripsi gratis.
Kirimkan juga ID pribadi Anda kepada kami.
Harap dicatat bahwa file TIDAK boleh berisi informasi berharga."
naaah... aku kirim tuh file excel yg gue kerjakan semalaman suntuk, kesalnya kemaren minta ampun, karena setelah selesai membuat langsung kena si ransom goblok ini.
Aku sengaja lebihin mengirim 1 file (2020.RAR) lagi, kan diberi kesempatan 1 file aja, kali aja mau 2 file hahaha...
Aku kirim bersama file _readme.txt biar mereka tau ID personalnya, yg sebenarnya mereka buat sendiri untukku.
ID yg mereka berikan kepada kita itu layaknya sebuah Password yg digunakan/diinput ke tools Decryptor milik mereka untuk mengembalikan data yg terenkripsi.
mau liat Descryptor mereka..? liat videonya nanti di akhir tulisan ini.
Selang 7 menit, saya dapat balasan dan menyertakan link untuk file saya yang telah dipulihkan mereka. Yang di pulihkan adalah file excel, sedang yang satunya file RAR kayaknya nggak mau mereka hahaha...
Ternyata bener, file saya kembali dengan baik tanpa kurang suatu apapun. Itu file excel memuat rumus-rumus yg lumayan bikin kita konsen, udah kembali tanpa rusak.
Kalian bayangin saja, itu kemaren aku sangat kesal sekali, ini barang susah payah kubuat sebagai bahan biar mudah dalam mengerjakan laporan smart, e-monev, revisi hal3dipa, output di SAS dan utk keperluan lainnya. Datanya direstore dari Om-SPAN, cling.... langsung jadi semuanya, tanpa susah payah lagi merem melek liatin angka trus mengcopi satu-satu sambil pencet kalkulator :D
Karena kita berbeda anggaran di RKAKL, ya nggak bisa dibagi, formulanya cuma buat saya doang. Lagian nggak keren-keren amat, aplikasi sederhana saja dan tidak berbobot, tapi berharga buat saya hahaha.....
Lumayan... 1 data saya telah kembali, sudah cukup untuk membuat saya senang luar biasa. Lalu saya balas lagi tuh email, "ternyata file .RAR tidak bisa ya? hihihi... kan aku ngirimnya 2 file (1 excel, 1 RAR), walapun dimintanya 1 file saja hahaha...
Itu sebenarnya memancing agar dia memulihkan data RAR punya saya, itu isinya sebenarnya adalah TOR dan RAB satker saya hihihi... lumayanlah klu dia mau memulihkan, 1/2 skripsi lah tebalnya hahaha........ Tapi ternyata mereka nggak mau, dan membalas lagi, tapi isinya adalah link download data yg telah dipulihkan terdahulu (excel) dan TAGIHAN. Emang gua punya utang bikin tagihan..?
Dan saya tidak menanggapinya lagi. Ada pelajaran berharga di dalamnya, dan saya bersukur atas itu semua, kenapa..? karena sebenarnya DATA SAYA 166 Gb yg terkena Ramsomware itu saya PUNYA BACKUPNYA yang kucopy dan simpan di HDD external pada bulan Februari lalu, saya terserang Ramsomware pada bulan April, dalam jarak 1,5 bulan ini, karena musim COVID-19, jadi tidak banyak data yg saya simpan dan sebagian data tersebut kusimpan di Drive C:, karena Ramsomware TIDAK MENYERANG Drive: C tempatnya Operating System laptop/PC kita.
Ini penampakan beberapa data saya yang terkena Ramsomware, sebenarnya ada 2 drive yang terserang dengan total 166 Gb.
Dan ini Backup yang saya punya: Saya masih mempunyai data penting saya.
Jadi data saya masih aman.
PESAN YANG BISA DIAMBIL DARI SINI ADALAH, SEKARANG.............
LAKUKANLAH BACKUP DATA PENTING ANDA KE PENYIMPANAN LAIN,
TERSERAH MAU Burning ke DVD, FLASHDISK ATAU HDD EXTERNAL.
SUATU SAAT... ANDA AKAN BERSUKUR KARENANYA.
WASSALAM.
BONUS : video cara kerja decryptor ramsomware:
44 comments
commentsBang, file temen gua kena .nypd dan setelah gua utak atik decyptornya bilang ID Online.
ReplyNah, klo seumpama file yg terenkripsi tadi disimpan (nunggu versi freenya kelar maybe dari si emsisoft?) apakah masih berbahaya?
simpan saja, itu tidak berbahaya lagi meskipun di klik 2 kali (dooble klik)
ReplyBang ad ngak yg kena nama file (pandemic)
ReplySaya juga kena pandemic nih.. malah sama roger.. help please!!
ReplySebagian file ada yg tdk terinfeksi,, apa nanti semua file jd terinfeksi semua??
Ka, file saya kena Ransomware. RAVI, itu baru apa lama ya?
Replybang... cara masukan file yg di enskripsi di cara pertama di atas gimana ya...
Replysoalnya aku udah nge paste kog g bisa. disitu dibilang "letakan file disini"
kok g bisa ya... tolong di bantu bang... mksh
Bru kena ransom .roger nah... 2x udh kena ransom...
Replyaq br kena ZWER
ReplyAq batu kena copa... Online lg...
ReplySaya Kena NPPH 300 GB data saya ga bisa dibuka 😭😭
Replysaya kena vari data terkunci smua dan tdk punya back up sama sekali 😭😭😭😭
Replyberarti bisa dipastikan ketika dibayar pasti beres ya bro
Replysaya juga kena bang noh IDnya 0262ergapUip9RPgVAtX7zDrZjP4H8QJd7TitM5CNN0eDMCO
Replyon line juga. memang sialan virus ini, kasih info ya bang kalo udah ada solusi. tanks sebelumya
Duh Anying Bangke,,,Ransomeware saya formatnya .sglh,gimana nih,gw punya berkas penting dan belum pernah Backup Data 😭
ReplyNasib anda sama dengan saya,saya hobi fotografer dan sekarang koleksi foto2 saya tidak bisa dibuka kena sglh. pasrah dah 🥺
ReplyUdah ada solusi g??? Soalnya file kerjaan banyak yang kena 😭😭😭😭😭😭😭😭
ReplySama bang aku kena 300 GB ID online..solusimya bang 🙏🏻
Replysama file sya format nya .SGLH semua😭😭😭
Replyserver kantor saya semua file jadi VVOA FILE ada yang pernah ngalamin juga ?
Replysemua file di laptop jadi .NOBU file, padahal didalamnya ada tugas akhir yang belum saya back up... bgsat...
Replypc gw kena ransomaware .Nobu anjing kampretnya lagi hdd external gw masih di colok pas terinfeksi kena juga hdd gw full .Nobu filenya apes apes
ReplySudah ada solusi kah? 2 hari laptop saya ken
Replythank min... satu file yg menurut gw penting banget (usulan penelitian yg udah dikerjain mati2an dan dikejar deadline sidang), akhirnya dibalikin normal sama tu bangsat.. bener kata admin cepet banget responnya kalo di email, ga sampe 30 mnt dari gw kirim personal ID sama 1 file yg minta dibuka, langsung dibales dan dikirim link buat download file yang udah dibuka...
ReplyBang bneran bisa balik kan bang, punya gua data2 penting semua dan gk ke backup ke hdd external, dan ransomeran ini type baru
ReplyTunggu 4 tahun lagi baru ada decryptornya.... wkwkwkwk.......
ReplySama bang. File skripsi ku juga kena .nobu
ReplySama bang. Jadi gimana yaa
ReplySaya kena yg .igdm dan tipe yg online
ReplyKira2, kalau file kena dan disimpan. Bbrp thn kemudian bs dipulihkan gak sih?
ReplyGuys semuanya kalau bisa yg masih aman komputernya aktifin system restore pokoknya create restore points ditanggal saat pc anda aman dr virus apapun. Jd saat kena ransomware dll tinggal disable koneksi lalu aktifin system restore
ReplyGw lagi kena. Qlkm nih ada yg pernah kena atau bsia bantu kah?
ReplySama kemarin q juga kena qlkm mas
ReplySama kemarin q juga kena qlkm mas
ReplySama saya juga kena QLKM bang . Apa ada solusi buat pemecahan masalah id online
ReplySaya juga kena bang baru aja kemarrn tgl 8 januari 2021. Id online lagi apa belum ada solusi sampai sekarang untuk pemulihannya. 😢😢😭
ReplySama bang qlkm aduh data kantor semua hilang bingung takut di marahin sama kepala kantor
ReplySaya kena .coos
ReplyTapi kalau saya rename file extensionnya, file tersebut bisa di buka.
Misal foto.jpg.coos
Saya rename menjadi foto.jpg filenya bisa kebuka.
Apa bahaya jika filenya saya simpan?
Teman saya juga barusan kena tgl 8 Januari 2021 kemarin. dan kalo saya lihat di beberapa forum masih belum ada decryptor untuk qlkm jadi mungkin ditunggu saja. dan betul dari cerita diatas kalo virusnya tidak bisa menyerang data di drive C dan mungkin tidak bisa menyerang file yang ditaruh di 2 folder terdalam (folder di dalam folder) karena file yg didalam 2 folder terdalam masih sehat CMIIW.
ReplyKalo saya bang semua file terenkripsi ID online . Apa ada kemungkinan di kemudian hari bisa pulih untuk id online . Makasih banyak sebelumnya untuk informasinya bang
ReplySaya baru saja kena .coos dari beberapa sumber ini virus baru dan masih belum ada decryptor nya, dan sialnya kena ID online dimana 90% impossible buat direcovery, emang kampret nih pembuat virus data hampir 2 Tb ilang
Replysaya kena .COOS jenis DJVU yg online. Sejauh ini belum ketemu obatnya
ReplyBang boleh bantu saya..tolong pandu saya..minta no wa nya, bagaimana nih ngehubungi pihak mereka..
ReplyWa saya ya 089691780285 ditunggu bang pliss...
Waduh sama aku juga kena .coos tanggal 14/01/21
ReplySemua data penting kena,back up nya ada di hardisk apesnya hardisknya rusak permanen tepat sehari sebelum kena si ransom
Mohon maaf jika pertanyaan Anda tidak terbalas karena tidak termonitor (offline) atau keterbatasan pengetahuan saya :D