Sabtu, 7 Agustus 2021 merupakan salah satu hari yang tidak akan pernah aku lupakan karena untuk pertama kalinya komputer rumah yang biasa dipakai satu keluarga, terkena .nooa ransomware dan mengakibatkan satu hardisk komputer berkapasitas 1TB terenkripsi dan tidak ada jalan lain selain harus cleanup disk a.k.a format ulang hikz.. hikz… Banyak teman-teman yang mengajukan pertanyaan seperti kok bisa tom? cara ngatasinya gimana? data masih bisa didapatkan kembali apa gak? Nah karena malas jawab satu-satu akhirnya aku buatkan aja postingan tentang .nooa ransomware ini agar kalo ditanyain, ya tinggal kasih link artikel ini. Lumayan dapat traffik haha.. Siapa tau ada pembaca yang juga punya pengalaman kena ransomware dan bisa berbagi tips, silahkan berikan komentar ya.
Table of Contents
Apa itu .NOOA Ransomware
NOOA ransomware adalah virus komputer varian baru dari virus enkripsi file STOP/DJVU yang mengenkripsi semua file yang ada di komputer tanpa terkecuali menggunakan algoritma RSA Salsa20. Seperti model ransomware, virus ini memang bertujuan untuk memeras pemilik data dengan mengenkripsi file untuk diminta tebusan. NOOA Ransomware merupakan varian terbaru dari keluarga ransomware DJVU/STOP yang pertama kali diungkapkan dan ditemukan oleh analis virus Michael Gillespie
Jadi komputer rumah yang terkena .nooa ransomware maka otomatis semua file yang ada di harddisk gak cuma drive c tapi semua drive itu berubah ekstensi filenya menjadi .nooa. Misalnya, file yang awalnya bernama 1.jpg akan muncul sebagai 1.jpg.nooa atau misalnya namanya aku.docx maka berubah menjadi aku.docx.nooa. Dan disetiap folder nantinya ada file bernama readme.txt dan isinya menyatakan bahwa semua file sebenarnya aman namun terenkripsi. Untuk mendekripsi semua file yang telah terinfeksi/terenkripsi maka kita diminta tebusan uang. Berapa tom?? Kalau di file tersebut minta tebusan $980. Tapi ada diskon (bangke diskon euy) menjadi $490 kalau kita mau bayar tebusan maksimal 3 hari setelah terinfeksi ransomware. Penampakan tebusannya kayak gini
Cara Kerja .NOOA Ransomware
Nooa ransomware biasanya menyerang pengguna Microsoft Windows. Dalam kebanyakan kasus, malware ini memerlukan tindakan pengguna (trigger) agar dapat diinstal di komputer. Biasanya, penjahat menggunakan berbagai trik, misalnya menyamarkan perangkat lunak berbahaya sebagai freeware, crack, aktivator, dan generator kunci, sehingga korban mengunduh dan menjalankan virus Nooa di komputer mereka. Aku sendiri merasa tidak ada mengunduh atau menginstall aplikasi di hari itu kecuali download aplikasi Lightshot (prntscr) dan aku pun selalu men-scan aplikasi apapun sebelum diinstal menggunakan Microsoft Defender Antivirus. Makanya agak bingung, bagaimana komputer di rumah bisa terinfeksi ransomware ini.
Setelah menganalisis dan mencari referensi di google, ternyata .nooa ransomware ini bisa meniru windows update. Jadi semacam membuat file .exe fake windows update. Soalnya seingetku waktu kemarin sabtu itu ada sempat muncul notifikasi untuk update windows. Kemungkinan inilah yang menyebabkan komputer rumah terkena .nooa ransomware. Dengan cara meniru fake windows update, ada kemungkinan Microsoft Defender Antivirus juga tidak mengira bahwa aplikasi itu adalah malware. Bahkan setelah semua file terenkripsi .nooa ransomware, pas aku cek di Microsoft Defender Antivirus ternyata semua .exe malware itu masuk dalam daftar Exclusions!! Langsung badan lemes..
Langsung deh aku remove semua file yang ada di Microsoft Defender Exclusions dan baru kemudian muncul notifikasi dari Microsoft Defender yang mendeteksi semua file .exe ransomware yang merupakan sumber infeksi .nooa ransomware dan langsung aku remove. Cuma ya itu, nasi udah jadi bubur, semua file dalam komputer sudah terinfeksi dan terenkripsi.
Cara Menghilangkan .NOOA Ransomware
Setelah tahu komputer rumah fix terkena .nooa ransomware dan masih dalam keadaan tidak bersemangat, maka selain browsing aku juga tanya beberapa teman, keluarga yang sekiranya memiliki pengalaman menghadapi malware ransomware. Tapi ya jawabannya semua harus ikhlas lahir dan batin semua data hilang karena tidak ada jalan lain mengembalikan file selain format dan install ulang komputer.
Aku mendapatkan secercah harapan dari om @sutorowebid (cari aja di IG hihi) yang bilang kalau dia dulu pernah kena ransomware dan cara menghilangkan .noaa ransomware adalah sbb:
- Hapus file utama ransomware dengan cara masuk ke task manager -> startup. Ternyata benar di komputer rumah itu ada 3 aplikasi .exe yang masuk ke startup yaitu 8386.exe, prun.exe dan winflow.exe. Nah kemudian aku cari lokasi filenya ternyata menyimpan di lokasi C:\\Users\namauserpcmu\AppData\ dan ada 3 folder yang namanya seperti hash yaitu sakjsjaksaxakndkjsandkjsad gitu… nah itu dihapus.. Jika tidak bisa dihapus, maka harus masuk ke Safe Mode dan delete. Ingat nama aplikasi bisa berbeda-beda tapi intinya itu aplikasinya bukan aplikasi yang pernah kita install / kita kenal.
- Setelah berhasil hapus ketiga folder ransomware tsb, cek registry yang ada di Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan hapus semua file registry nya. Selain di Run cek juga di RunOnce untuk kedua lokasi registry tersebut diatas ya.
- Ketika langkah 1 dan 2 diatas aku lakukan, om Toro bilang tinggal ubah file yang awalnya misalnya apaansih.docx.nooa menjadi apaansih.docs di file explorer. Jangan lupa seting folder options agar kita bisa melihat extensi file.
- Langkah terakhir ya tinggal coba buka filenya. Secara icon memang sudah berubah seperti biasanya. Namun…… aku yang tadinya semangat membara ketika buka salah satu file dan hasilnya adalah File Corrupted!
Cara menghilangkan ransomware diatas memang efektif dan berhasil, namun tidak berhasil dalam pemulihan file yang telah terenkripsi. Setidaknya begitulah cara menghilangkan ransomware yang bisa teman-teman gunakan. Jangan lupa setelah terinfeksi matikan koneksi internet karena siapa tau proses enkripsi file berhenti di tengah jalan, jadi masih ada file yang bisa terselematkan setelah file-file sumber ransomware diberantas. Karena kalau terkena ransomware yang metode enkripsinya offline maka kemungkinan semua file masih bisa di dekripsi dan dipulihkan kembali. Bagaimana caranya? Kita lanjut tulisannya ya..
Cara Dekripsi .NOOA Ransomware
Setelah cara menghapus file sumber ransomware diatas berhasil dijalan. Secara tidak langsung sebenarnya komputer sudah aman karena kita aku colok flashdisk DLC boot dan menjalan scan, flashdisk aku aman dan tidak ada yang terinfeksi lagi. Ketika di scan menggunakan eset ataupun microsoft defender antivirus, juga sudah tidak ditemukan virusnya lagi.
Nah sekarang yang harus dipikirkan apakah kita bisa dekripsi file yang udah terenkripsi tadi. Aku cari-cari literasi di google ternyata bisa. Ternyata beberapa orang telah menyediakan tools gratis untuk mendekripsi file-file yang terenkripsi oleh berbagai varian ransomware. Untuk toolsnya bisa dilihat disini ya karena setiap varian ransomware berbeda tools dekripsinya dan salah satu situs ini adalah milik Kaspersky langsung. Silahkan kunjungi No Ransom: Free ransomware file decryption tools by Kaspersky atau Decryption Tools | The No More Ransom Project. Pokoknya tinggal pilih variannya apa dan download tools decryptnya.
Untuk .nooa ransomware yang termasuk dalam varian DJVU sebenarnya juga udah ada tools untuk dekripsi yang dibuat oleh Emsisoft. Aku pun langsung unduh dan install tools tersebut harapannya siapa tau semua file yang terenkripsi bisa dipulihkan. Tapi ya harapan itu pun sirna karena setelah menjalankan aplikasi Decryptors dari Emsisoft, muncul notifikasi bahwa hasilnya adalah sbb:
Jadi ketika kita menggunakan file decryptors dari Emsisoft ini, jika muncul tulisan “This ID appears to be an online ID, decryption is impossible” ya udah tandanya memang kita pemilik komputer yang terkena ransomware harus iklas lahir dan batin. Soalnya semua file tidak dapat di dekripsi kecuali bayar tebusan dan dapat kunci hash dari pemberi malware. Tapi kalau kalian terkena ransomware yang enkripsinya masih menggunakan metode offline maka menggunakan emsisoft ini bisa digunakan dan semoga file-file kalian masih bisa pulih.
Pencegahan dari Ransomware
Bagaimana pencegahan dari ransomware varian apapun agar tidak terinfeksi di komputer teman-teman sekalian? Ya mungkin selain selalu mengupdate windows dan microsoft defender antivirus, kalian perlu memasang antivirus lainnya yang sekiranya bisa mencegah ransomware atau ada fitur proteksi ransomware dan ransomware remediation (semacam fitur untuk mereverse / mengembalikan file yang telah terenkripsi oleh ransomware). Beberapa antivirus yang aku temukan dan ada fitur ini pastinya antivirus yang berbayar seperti Kaspersky, TrendMicro, McAfee, Eset dan Bitdefender. Sesuaikan dengan budget kantong kalian sama spesifikasi pc karena pasti banyak fitur akan lebih memberatkan komputer (biasanya) hehehe..
Selain itu, ketika browsing ataupun ada notifikasi apapun, termasuk ada update windows mungkin sebaiknya jangan asal klik. Lebih baik klo update windows itu dari menu check updates di control panel langsung. Mungkin juga bisa dipikirkan untuk tidak menggunakan software bajakan yang ada pat ch/key gen/cr ack nya karena itu rawan disusupi ransomware.
Kesimpulan
Ternyata walaupun kita selalu update windows dan update microsoft defender antivirus, belum tentu kita aman dari ransomware. Lebih baik waspada dan jangan asal klik. Kemudian jangan lupa untuk format seluruh harddisk (sedih) dan install ulang komputer agar benar-benar bersih dari ransomware. Jika kedepannya kalian terkena ransomware, pokoknya langsung matikan jaringan internet, cek pada startup (aplikasi dan registry) dan hapus file yang sekiranya bahaya / tidak dikenal, buka microsoft defender dan cek exclusion (jika ada eksklusin file ransomware maka wajib di remove) dan scan ulang menggunakan antivirus yang sekiranya ampuh. Sekian, semoga kalian gak kena ya 🙂
Semoga tidak ada yg kena lagi.. Thanks bro ilmu dan sharingnya…
siapp om indroo
Wah, artikel ini sangat bermanfaat apalagi buatku yang belum mengenal nooa.ransomeware. Ditambah lagi informasi cara pencegahannya, buatku akan lebih aware lagi.
semoga bermanfaat mba
Iki iso nyerang windows yg terinstall di parallel desktop gak ya? Duh ngeri banget.
Apakah aku harus beli corel for mac 11 juta lagi? Duh.
Semoga setelah ini aman-aman aja yaaa
yang penting jangan buat unduh file bajakan, jangan asal klak klik file yang tidak diketahui dan harus waspada sama fake apps kang
menyedihkan pakai banget. semua data dan semua kenangan hilang. Foto Viona raib dibawa virus. Semoga yang buat virus segera saar dech. Merugikan banget buat semua orang. Sedihnya gak tertandingi
klo semua penjahat itu sadar maka dunia ini akan aman tenteram dek wkwkwkw
Wah keren abis dah pengalaman nya. Ngeri juga kalau Laptop kena niu virus. Bisa ambyar dah
Kalau urusan sama virus komputer begini saya sudah pernah berkali-kali kehilangan data kuliah pada waktu itu, bikin pening loh
Ngeri juga ya tiba-tiba file jadi gak bisa kebuka gitu. Memang benar sih, harus dipasang anti virus lainnya supaya lebih aman, selain mengandalkan windows defender.
Waduuuh… serem amat. Ngebersihin sendiri kayaknya bakal bikin stres juga …. 🙁 Semoga nggak sampai kena. Btw, kurang asem banget yak itu pelakunya, minta tebusan sekian ratus dolar.
Saya baru tau ada virus ini, Mas. Dan memang, kalau sampai kena, nangis juga, karena file di komputer bisa hilang semua. Untung sudah ada solusinya ya, Mas.
Terima kasih infonya, Mas.
Kalau semua data hilang gitu pasti rasanya nyesek banget ya, apalagi kalau data-datanya penting. Aku pribadi baru denger tentang nooa ronsomware sih, jadi takut kalo sampe laptopku juga kena virus kayak gitu, Untung di artikel ini udah dikasih tahu pencegahan dan solusinya kalo nanti ada virus itu di kompeter, bisa lebih hati-hati lagi kedepannya huhu
Musti hati” bgt yaaa, kalo kasusnya begini emang susah dideteksi banget. Dikira update windows ternyata virus.
Tapi artikelnya mantap ini, harus usaha maksimal dulu. Masalah hasil ya belakangan..hehe
Hiiyy ngeri. Aku ngebayangin perasaannya ya pasti lemes, sedih.
Ternyata emang perlu hati hati kalau mengunduh, apalagi yang bajakan. Lha ini masnya dari windows update. Duhduh.
Tapi makasih banyak atas triknya yaaa.
Terima Kasih Mas Tomy atas artikelnya yang sangat membantu. Bisa buat jaga jaga cara menanganinya kalau suatu saat kena. Aku kasih tau anak anak dan suami jg yang sering pakai pc
Siapp mba Nunung.. semoga bermanfaat
Kalo laptop kena virus tuh emang bikin hati berasa hancur berkeping keping ya mas.. huhuhuhuhu. Apalagi kalo penyelesaian akhirnya cuma lewat format ulang, ilang senua deh data datanya.. huhuhhhuhu.. pengalaman banget buat rajin backuo data di harddisk external mgkn ya mas..
Ia mas.. sekarang taruh semua di cloud hehee
hal seperti ini yang membuat saya harus hati-hati dalam klik webstie, takutnya bakalan bisa parah terkena virus apapun termasuk virus nooa ransoware
Betul mas.. semoga ke depannya gak ada yang kena lagi mas
wah pas baca judul aku kir bahas noona korea, eh ternyat noona yang lain
beruntung masalah nya sudah selesai ya mas
duh aku mah langsung frustrasi kayaknya kalau kena virus ini :’)
Terima kasih atas informasinya mas Tomi, baru tahu nih. Jadi lebih berhati-hati sekarang dalam mengeklik link
Wiiiih, cyber crime makin ngeri ya kak. Mana yang diserang file penting.
Tapi proses masuk virusnya gimana itu kak? Lngsung diserang gitu atu transmisi dari FD atau memory card?
Thanks mas Tom udah ingatin kita semua. Semoga makin hati-hati dalam mengeklik web yang nggak jelas ya kita. Jadi ingat salah satu kartun apa sih lupa tentang virus begini yang mengganggu tatanan dunia maya. Apalagi kita yg berkecimpung di ranah media digital ya.
Ini kalau saya yang kena kasusnya udah auto nyerah lah sama kang servis. Nggak ngerti mau digimanain. Wong isone mung nganggo ne otok, wkwkwk…
sama dengan pengalaman saya 1bulan yg lalu…..pc+flash disk backup terkena virus nooa….file penting ter kunci semua…….seketika badan lemes…..saya coba sabar dan ikhla….., file yg terkunci tetap saya simpan, sapa tau kedepannya ada tools atau software yg bisa membuka file yg terkuci virus nooa….sedikit saran, selalu bakup file kalau pakai hd eksternal diusahakan pakai seperlunya saja, jika sudah tidak dipakai segera lepas dari koneksi pc/laptop.
betul jika memang ada yang penting sekali, lebih baik file terkunci disimpan. entah 1-2 tahun biasanya ada decrypt toolsnya. Tapi ya harus sabar mas andreas
wah ngeri yah
aku googling nemu artikel ini gara2 laptop teman kena ransom .pqgs
dan sayangnya itu baru muncul 5 hari lalu ransomnya, ya pasti ga ketolong
mau nunggu juga bakal 2 tahun lagi paling