Cara Mengatasi Malware Ransomware WordPress

Ransomware ini pertama kali dilihat oleh Wordfence dalam usaha serangan tunggal pada tanggal 7 Juli. Kami merilis signature malware ke pelanggan premium Wordfence pada tanggal 12 juli. Yang dirancang khusus untuk mendeteksi ransomware ini dan variannya. Itu berarti firewall pelanggan premium kami telah memblokir upaya untuk mengunggah uang tebusan ini sejak saat itu. Pemindaian Wordfence juga telah mendeteksi adanya ransomware ini untuk pelanggan Premium sejak 12 Juli.

30 hari kemudian pada tanggal 11 Agustus, peraturan ini tersedia bagi pelanggan komunitas bebas kami. Jika Anda memiliki Wordfence Premium atau Wordfence gratis di situs web Anda, Anda akan terlindungi dari serangan ini.

Wordfence akan melindungi Anda dari serangan pertama ini. Kami juga merekomendasikan agar Anda membackup data anda. Sebaiknya jangan menyimpan file backup anda di server anda. Jika missal anda menyimpan file backup di ZIP pada server anda, maka jika web anda terkena ransom, maka zip tersebut juga akan terkena dan akan sia sia. Backup anda harus di simpan offline atau cloud storage seperti Dropbox.

Varian paling awal dari ransomware ini muncul pada bulan Mei tahun lalu di Github. Versi selanjutnya dari ransomware ini adalah apa yang saat ini di gunakan penyerang. Pertama kali kami melihat ransomware ini digunakan dengan liat untuk menargetkan situs WordPress bulan lalu.
Pembuat ransomware di akun Githun bug7sec, sebuah grup Indonesia dengan halaman Facebook yang telah mereka daftarkan sebagai konsultan bisnis.

Baca Juga : Malware Ransomware Mengincar Situs CMS WordPress

Source kode nya menggunakan kata kata Bahasa Indonesia seperti “kecuali”. Anda bisa melihat contoh di bawah ini :

Fungsi di atas menentukan apakah harus mengecualikan file dari enkripsi, Jadi kata ‘kecuali’ masuk akal dalam konteks ini sebagai nama fungsi Indonesia.

Ketika anda menjalankan ransomware, ini akan membuka video di youtube yang tidak terlihat, namun anda dapat mendenganr audio nya bermain di background. Video tersebut memutar sebuah rap Indonesia dan liriknya terlihat menyebutkan hacking.

Judul dari video tersebut adalah  “ApriliGhost – Defacer Kampungan.” Jika anda melihat twitter @aprilighost anda akan melihat akun ini terhubung dengan facebook. AprilGhost mungkin bukn hacker tapi video tersebut berasal dari indoneisa. Petunjuk lain adalah bahwa ransomware tampaknya terhubung dengan web errorviolance,com. Ketika anda melihat ransomware di web browser, setelah beberapa waktu kemudian, anda akan diarahkan ke situ itu, yang mana itu adalah website forum hacking Indonesia.

Data serangan kami telah mencatat serangan terkait dari IP dengan lokasi Jakarta, ibukota Indonesia. Kami melihat serangan serangan terkait yang berasal dari beberapa IP non Jakarta lainnya, tetapi tidak menyelesaikan ke lokasi tertentu, melainkan bisa saja penyerang menggunakan proxy. Jadi sejauh ini, Jakarta adalah satu satu nya lokasi dengan link yang jelas ke serangan ini,

Kesimpulannya : Ransomware ini telah di buat di Indonesia, mungkin dibuat oleh bug7sec, dan digunakan oleh setidaknya satu grup hacking indoneisa, dari indoneisa, ke target website wordpress.

Sumber : Ransomware Targeting WordPress – An Emerging Threat