"Pahlawan Kebetulan" Hentikan Infeksi Ransomware

Peta Sebaran infeksi dari ransomeware/IST.

Kami telah menghentikan yang ini, tapi akan ada satu lagi yang datang dan itu tidak akan terhentikan oleh kami.

Seorang periset keamanan berusia 22 tahun asal Inggris secara tidak sengaja menjadi pahlawan yang menghentikan penyebaran infeksi ransomware yang telah mengkhwatirkan ratusan organisasi di dunia, temasuk NHS Inggris.

Ketidak-sengajaannya bermula ketika pria yang dikenal sebagai MalwareTech itu mencoba menganalisis kode di balik uang tebusan pada Jumat malam, waktu setempat. Menurutnya, dia mencoba menghubungi alamat web yang tidak biasa yang tercantum di dalamnya, - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - namun tidak terhubung dengan situs web manapun.

Diduga kuat, dalam menjalankan serangannya, ransomware akan mencoba menghubungi situs tersebut dan gagal, sehingga akan mulai melakukan kerusakan. Pria yang juga Blogger itupun memutuskan untuk mengeluarkan uang sebesar $10.69 untuk membeli alamat web yang tak jelas tersebut, dengan tujuan untuk mengakses data analatis dan mendapatkan gambaran tentang seberapa luasa infeksi dari ransome tersebut.

Namun demikian dia pun menyadari bahwa apa yang dilakukannya ternyata telah menghentikan infeksi dari ransomware.

"Itu sebenarnya ketidak-sengajaan," katanya kepada BBC, usai begadang untuk menjalankan penyelidikannya.

"Aku belum tidur walau sebentar pun," tambahnya.

Apa yang Terjadi?

Kemungkinan, si pencipta ransomeware telah mempersiapkan "tombol pembunuh" - cara menghentikan penyebarannya, untuk berjaga-jaga jika ada sesuatu yang tidak terkendali. Dan dalam kasus ini, tindakan mendaftarkan alamat web misterius ternyata telah memicu "tombol pembunuh" itu.

Tampilan ramsomeware/IST

Namun, MalwareTech saat ini menganggapnya bukan "tombol pembunuh". Dia berpikir bahwa itu adalah cara untuk mendeteksi apakah ransomeware tengah diselidiki di dalam lingkungan yang aman dan sekali pakai yang digunakan para peneliti untuk memeriksa virus. Ini dikenal sebagai "mesin virtual".

"Itu (ransomware) keluar untuk mencegah analisis lebih lanjut," tulis MalwareTech dalam sebuah posting blognya.

"Pendaftaran saya ... menyebabkan semua infeksi secara global percaya bahwa mereka berada di dalam (mesin virtual) dan keluar ... sehingga awalnya kami secara tidak sengaja mencegah penyebaran dan penambahan infeksi lebih lanjut," lanjut tulisannya.

Blooger itupun kini disebut sebagai "pahlawan kebetulan" karena telah memperlambat penyebaran uang tebusan.

"Saya akan mengatakan itu benar," katanya kepada BBC.

Apakah ini Berarti Ransomware Telah Kalah?

Untuk sementara, pendaftaran alamat web tampaknya telah menghentikan satu rangkaian penyebaran malware, tetapi bukan berarti ransomware itu sendiri telah dikalahkan. Sebab, Setiap file yang diacak oleh ransomware masih akan ditahan untuk mendapatkan uang tebusan.

Pakar keamanan juga telah memperingatkan bahwa varian baru dari ransomware yang mengabaikan "kill switch" (tombol pembunuh) akan muncul.

"Varian ini tidak boleh menyebar lebih jauh lagi, namun pastinya, hampir pasti ada copycats," kata peneliti keamanan Troy Hunt di sebuah posting blog.

"Kami telah menghentikan yang ini, tapi akan ada satu lagi yang datang dan itu tidak akan terhentikan oleh kami. Ada banyak uang dalam hal ini, tidak ada alasan bagi mereka untuk berhenti. Tidak banyak usaha bagi mereka untuk mengubah kodenya dan memulai lagi," MalwareTech memperingatkan.