Rupanya virus lokal di Indonesia mirip dengan dunia fashion dan para pembuat virus ternyata selalu mengikuti trend. Jika pada masa keemasan Rontokbro hampir semua virus mengandung payload memblok Registry Editor (regedit), Task Manager, MS Config dan Command Prompt. Lalu trend bergeser ke virus yang tetap aktif di Safe Mode dan Safe Mode with Command Prompt, bahkan Vaksincom pernah menemuan virus yang mampu memblok akses ke harddisk sekalipun di akses menggunakan Mini PE.
Beberapa virus diketahui mulai memblok akses ke Secpol (Security Policy), tetapi apakah payload yang paling ditakuti pengguna komputer dan ternyata menjadi trend pembuat virus akhir-akhir ini ?
Apakah aksi menghancurkan komputer seperti format atau delete file ? Aksi autoinfect melalui autorun Flash Disk ? Aksi blok fungsi komputer seperti regedit, Task Manager, MS Config, Command Prompt, Secpol (Security Policy) atau blok aplikasi sekuriti dan antivirus ?
Jawabannya cukup mengejutkan, aksi yang paling ditakuti pengguna komputer bukan hal di atas tetapi aksi virus “mengejai” file MS Office komputer korbannya. Hal ini terbukti dari thread di http://forum.vaksin.com dimana pertanyaan yang paling sering muncul dan paling sering di lihat adalah pertanyaan sekitar bagaimana mengembalikan file MS office, terutama MS Word dan beberapa MS Excel yang tidak bisa dibuka lagi karena dirusak oleh virus.
Menurut pengamatan Vaksincom, cukup banyak virus yang “mengerjai” file MS Office seperti virus Tunggul Kawung atau dikenal dengan nama resmi W32/Gultung yang merubah semua file MS Word korbannya menjadi file Ujian Negara Agama. Lalu si notorius Kespo yang mengenkripsi header file .dbf, MS Sql dan MS Office sehingga menjadi tidak bisa dibuka. Pengikut Kespo yang melakukan aksi serupa adalah virus W32/Delf.ZFA atau lebih dikenal dengan nama virus Zulanick selain mengincar file MS Word dan Excel juga mengincar file MP3. Terakhir dan malahan menurut pengamatan Vaksincom sangat mengkhawatirkan adalah virus terbaru yang sedang menyebar di Indonesia dengan metode “Silent Operation” karena tidak aktif sebagai proses Windows dan hanya aktif jika file MS word yang di injeksinya dibuka, ialah W32/Agent.EQXC yang juga mengenkripsi semua file MS Word dan sampai saat ini tidak ada satu vendor antiviruspun yang mampu mendekripsi kembali file korban virus ini dan satu-satunya cara yang dilakukan oleh vendor antivirus adalah menghapus atau mengkarantina file yang di enkripsi tersebut. Apakah benar file-file yang di”permak” oleh virus-virus yang disebutkan di atas benar-benar tidak bisa dikembalikan atau masih ada solusinya ? Penulis tidak ingin memberikan angin surga, meskipun secara teori file yang di enkripsi dapat dikembalikan ke asalnya “jika” kita mengetahui key enkripsi tetapi pada banyak kasus kunci enkripsi tidak berhasil ditemukan dan cara menyelamatkan data harus dilakukan secara manual atau malah tidak bisa diselamatkan.
Virus-virus lokal yang menginjeksi dan mengenkripsi data
Kespo
Kalau Rontokbro merupakan pionir virus lokal Indonesia, maka Kespo virus yang menjadi pionir enkripsi data komputer korbannya. Kespo termasuk dalam jajaran virus elit dan dibuat menggunakan bahasa Delphi. Ia memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel) dan database seperti MDF, DBF dan LDF (Visual Foxpro dan MS SQL). Varian awal Kespo berhasil menginfeksi file MS Office tetapi gagal menginfeksi file database. Tetapi celakanya, pembuat Kespo ini belajar dari kesalahannya dan mengeluarkan varian baru yang berhasil mengenkrip dan menginjeksi file-file database sehingga membuat korbannya kelimpungan. Tahap awal Kespo “hanya” berhasil menginjeksi database DBF dan dengan bersusah payah berhasil di recovery dengan teknik recovery DBF, tetapi varian berikutnya yang kembali berhasil menginjeksi file MS SQL tidak memberikan banyak pilihan recovery karena rumitnya struktur MS SQL sendiri sehingga satu-satunya cara untuk mengembalikan database yang terenkripsi adalah dengan input ulang semua data. Secara teori, jika kunci enkripsi Kespo berhasil diketahui, database yang terenkripsi mungkin dapat dikembalikan tetapi metode enkripsi Kespo sampai saat ini tidak diketahui. Karena itu para administrator database harus selalu berhati-hati dan melakukan backup atas databasenya dengan baik dan benar.
Gultung
Gultung / Tunggul Kawung adalah virus yang mempunyai karakteristik seperti Kespo, tetapi aksinya terhadap file MS Word dan Excel lebih ganas dibandingkan Kespo.
Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini? Virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti / replace dokumen yang terinfeksi untuk kemudian mengganti dengan file virus tersebut plus kode jahatnya. Dengan cara ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon Folder atau kamera (tergantung dari variannya) dengan ekstensi EXE. Lalu dalam rangka mengelabui korbannya lebih jauh lagi, virus ini juga akan membuat file duplikat lainnya dengan ukuran file yang sama seperti file duplikat yang mempunyai ekstensi EXE tetapi dengan icon MS Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dan type file “Microsoft Word Documents”. User yang berhasil mengakses hidden file palsu tersebut beranggapan bahwa file mereka masih ada. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih jauh ternyata file hidden tersebut TETAP file virus dan jika kita ganti ekstensinya maka icon yang menyertai virus tersebut akan berubah menjadi Folder atau kamera yang jika dijalankan maka akan mengaktifkan virus tersebut.
Zulanick
Terdeteksi oleh Norman dengan nama W32/Delf.ZFA dan dibuat menggunakan Delphi ini ternyata memiliki payload (bom waktu) dimana pada saat yang terlah ditentukan semua file yang ditemuinya akan dipermak dan dirubah menjadi ekstensi.BMP (Bitmap). Kabar baiknya, pembuat virus ini tidak sejahat pembuat virus Kamasutra dan masih menyisakan peluang bagi korbannya untuk mengembalikan data yang telah dirubah itu.
W32/Agent.EQXC
Virus terakhir dalam gerombolan si berat ini dideteksi Norman sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini lagi-lagi memiliki keunikan tersendiri dan Vaksincom memprediksi virus ini akan termasuk virus yang “panjang umur”.
Mengapa ?
Virus ini tidak seperti virus lain yang aktif dalam proses Windows, baik menyaru sebagai proses Windows atau menamakan dirinya mirip dengan nama proses Windows. Pada virus konvensional yang aktif sebagai proses Windows, kunci utama mematikan virus adalah menemukan proses virus dan mematikannya. Jika proses virus sudah dimatikan, maka virus tidak akan aktif lagi dan proses pembersihan virus akan dapat dilakukan dengan mudah. Tetapi Agent.EQXC tidak aktif sebagai proses Windows dan hanya aktif jika file MS Word yang di injeksinya dibuka, dimana ia akan langsung mencari file MS Word lain dan mengenkripsi file tersebut sedemikian rupa sehingga setiap kali file tersebut dibuka, proses virus juga langsung berjalan. Jika anda ingin membasmi virus ini, sama saja dengan menghapus file berharga anda.
Beberapa program antivirus dapat mendeteksi virus ini tetapi yang menjadi masalah adalah karena virus menyatu dengan file MS Word, maka seluruh file MS Word yang telah terinfeksi akan langsung di delete atau di karantina oleh antivirus dan sampai saat ini tidak ada satupun antivirus yang mampu memisahkan file yang terinfeksi dari virus karena rupanya file MS Word asli juga ikut di enkripsi dan key enkripsi tersebut sampai saat ini masih belum berhasil dipecahkan.
Bagaimana cara mengatasi file yang telah dienkripsi
Khusus untuk pembaca Chip, anda dapat menemui tools untuk mengembalikan data-data yang telah dirubah oleh virus Kespo dan Zulanick pada CD / DVD Chip yang dibuat oleh programmer-programmer Indonesia yang perduli dengan korban virus ini seperti Adil Makmur, Ahlul dan Yayat. Untuk virus Tunggul Kawung / Gultung dan Agent.EQXC dengan berat hati Vaksincom menginformasikan bahwa saat ini belum ada tools yang dapat mengembalikan file yang telah dirubah oleh kedua virus ini. Khusus untuk virus Agent.EQXC ada teknik khusus yang dapat menyelamatkan data MS Word anda namun harus dilakukan secara manual. Pertama, nonaktifkan dulu program antivirus anda, jangan scan / bersihkan data MS word yang terinfeksi dengan antivirus karena akan dihapus atau di karantina oleh antivirus. Setelah itu buka file yang terinfeksi lalu safe sebagai format RTF (Rich Text File). Jika anda memiliki ratusan / ribuan file MS Word ...... artinya anda harus olahraga jari membuka dan merename semua file tersebut ecara manual. Ibarat orang positive thinking, masih untung filenya tidak dihancurkan :).
Source information : http://vaksin.com/2008/1108/virus%20enkripsi%20data/Gerombolan%20Si%20Berat%20Pengenkripsi%20Data%20Komputer.htm