Berbagi Pengalaman Terkena .NOOA Ransomware

Sabtu, 7 Agustus 2021 merupakan salah satu hari yang tidak akan pernah aku lupakan karena untuk pertama kalinya komputer rumah yang biasa dipakai satu keluarga, terkena .nooa ransomware dan mengakibatkan satu hardisk komputer berkapasitas 1TB terenkripsi dan tidak ada jalan lain selain harus cleanup disk a.k.a format ulang hikz.. hikz… Banyak teman-teman yang mengajukan pertanyaan seperti kok bisa tom? cara ngatasinya gimana? data masih bisa didapatkan kembali apa gak? Nah karena malas jawab satu-satu akhirnya aku buatkan aja postingan tentang .nooa ransomware ini agar kalo ditanyain, ya tinggal kasih link artikel ini. Lumayan dapat traffik haha.. Siapa tau ada pembaca yang juga punya pengalaman kena ransomware dan bisa berbagi tips, silahkan berikan komentar ya.

Apa itu .NOOA Ransomware

NOOA ransomware adalah virus komputer varian baru dari virus enkripsi file STOP/DJVU yang mengenkripsi semua file yang ada di komputer tanpa terkecuali menggunakan algoritma RSA Salsa20. Seperti model ransomware, virus ini memang bertujuan untuk memeras pemilik data dengan mengenkripsi file untuk diminta tebusan. NOOA Ransomware merupakan varian terbaru dari keluarga ransomware DJVU/STOP yang pertama kali diungkapkan dan ditemukan oleh analis virus Michael Gillespie

Jadi komputer rumah yang terkena .nooa ransomware maka otomatis semua file yang ada di harddisk gak cuma drive c tapi semua drive itu berubah ekstensi filenya menjadi .nooa. Misalnya, file yang awalnya bernama 1.jpg akan muncul sebagai 1.jpg.nooa atau misalnya namanya aku.docx maka berubah menjadi aku.docx.nooa. Dan disetiap folder nantinya ada file bernama readme.txt dan isinya menyatakan bahwa semua file sebenarnya aman namun terenkripsi. Untuk mendekripsi semua file yang telah terinfeksi/terenkripsi maka kita diminta tebusan uang. Berapa tom?? Kalau di file tersebut minta tebusan $980. Tapi ada diskon (bangke diskon euy) menjadi $490 kalau kita mau bayar tebusan maksimal 3 hari setelah terinfeksi ransomware. Penampakan tebusannya kayak gini

Cara Kerja .NOOA Ransomware

Nooa ransomware biasanya menyerang pengguna Microsoft Windows. Dalam kebanyakan kasus, malware ini memerlukan tindakan pengguna (trigger) agar dapat diinstal di komputer. Biasanya, penjahat menggunakan berbagai trik, misalnya menyamarkan perangkat lunak berbahaya sebagai freeware, crack, aktivator, dan generator kunci, sehingga korban mengunduh dan menjalankan virus Nooa di komputer mereka. Aku sendiri merasa tidak ada mengunduh atau menginstall aplikasi di hari itu kecuali download aplikasi Lightshot (prntscr) dan aku pun selalu men-scan aplikasi apapun sebelum diinstal menggunakan Microsoft Defender Antivirus. Makanya agak bingung, bagaimana komputer di rumah bisa terinfeksi ransomware ini.

Setelah menganalisis dan mencari referensi di google, ternyata .nooa ransomware ini bisa meniru windows update. Jadi semacam membuat file .exe fake windows update. Soalnya seingetku waktu kemarin sabtu itu ada sempat muncul notifikasi untuk update windows. Kemungkinan inilah yang menyebabkan komputer rumah terkena .nooa ransomware. Dengan cara meniru fake windows update, ada kemungkinan Microsoft Defender Antivirus juga tidak mengira bahwa aplikasi itu adalah malware. Bahkan setelah semua file terenkripsi .nooa ransomware, pas aku cek di Microsoft Defender Antivirus ternyata semua .exe malware itu masuk dalam daftar Exclusions!! Langsung badan lemes..

Langsung deh aku remove semua file yang ada di Microsoft Defender Exclusions dan baru kemudian muncul notifikasi dari Microsoft Defender yang mendeteksi semua file .exe ransomware yang merupakan sumber infeksi .nooa ransomware dan langsung aku remove. Cuma ya itu, nasi udah jadi bubur, semua file dalam komputer sudah terinfeksi dan terenkripsi.

Cara Menghilangkan .NOOA Ransomware

Setelah tahu komputer rumah fix terkena .nooa ransomware dan masih dalam keadaan tidak bersemangat, maka selain browsing aku juga tanya beberapa teman, keluarga yang sekiranya memiliki pengalaman menghadapi malware ransomware. Tapi ya jawabannya semua harus ikhlas lahir dan batin semua data hilang karena tidak ada jalan lain mengembalikan file selain format dan install ulang komputer.

Aku mendapatkan secercah harapan dari om @sutorowebid (cari aja di IG hihi) yang bilang kalau dia dulu pernah kena ransomware dan cara menghilangkan .noaa ransomware adalah sbb:

1. Hapus file utama ransomware dengan cara masuk ke task manager -> startup. Ternyata benar di komputer rumah itu ada 3 aplikasi .exe yang masuk ke startup yaitu 8386.exe, prun.exe dan winflow.exe. Nah kemudian aku cari lokasi filenya ternyata menyimpan di lokasi C:\\Users\namauserpcmu\AppData\ dan ada 3 folder yang namanya seperti hash yaitu sakjsjaksaxakndkjsandkjsad gitu… nah itu dihapus.. Jika tidak bisa dihapus, maka harus masuk ke Safe Mode dan delete. Ingat nama aplikasi bisa berbeda-beda tapi intinya itu aplikasinya bukan aplikasi yang pernah kita install / kita kenal.
2. Setelah berhasil hapus ketiga folder ransomware tsb, cek registry yang ada di Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run dan hapus semua file registry nya. Selain di Run cek juga di RunOnce untuk kedua lokasi registry tersebut diatas ya.
3. Ketika langkah 1 dan 2 diatas aku lakukan, om Toro bilang tinggal ubah file yang awalnya misalnya apaansih.docx.nooa menjadi apaansih.docs  di file explorer. Jangan lupa seting folder options agar kita bisa melihat extensi file.
4. Langkah terakhir ya tinggal coba buka filenya. Secara icon memang sudah berubah seperti biasanya. Namun…… aku yang tadinya semangat membara ketika buka salah satu file dan hasilnya adalah File Corrupted!

Cara menghilangkan ransomware diatas memang efektif dan berhasil, namun tidak berhasil dalam pemulihan file yang telah terenkripsi. Setidaknya begitulah cara menghilangkan ransomware yang bisa teman-teman gunakan. Jangan lupa setelah terinfeksi matikan koneksi internet karena siapa tau proses enkripsi file berhenti di tengah jalan, jadi masih ada file yang bisa terselematkan setelah file-file sumber ransomware diberantas. Karena kalau terkena ransomware yang metode enkripsinya offline maka kemungkinan semua file masih bisa di dekripsi dan dipulihkan kembali. Bagaimana caranya? Kita lanjut tulisannya ya..

Cara Dekripsi .NOOA Ransomware

Setelah cara menghapus file sumber ransomware diatas berhasil dijalan. Secara tidak langsung sebenarnya komputer sudah aman karena kita aku colok flashdisk DLC boot dan menjalan scan, flashdisk aku aman dan tidak ada yang terinfeksi lagi. Ketika di scan menggunakan eset ataupun microsoft defender antivirus, juga sudah tidak ditemukan virusnya lagi.

Nah sekarang yang harus dipikirkan apakah kita bisa dekripsi file yang udah terenkripsi tadi. Aku cari-cari literasi di google ternyata bisa. Ternyata beberapa orang telah menyediakan tools gratis untuk mendekripsi file-file yang terenkripsi oleh berbagai varian ransomware. Untuk toolsnya bisa dilihat disini ya karena setiap varian ransomware berbeda tools dekripsinya dan salah satu situs ini adalah milik Kaspersky langsung. Silahkan kunjungi No Ransom: Free ransomware file decryption tools by Kaspersky atau Decryption Tools | The No More Ransom Project. Pokoknya tinggal pilih variannya apa dan download tools decryptnya.

Untuk .nooa ransomware yang termasuk dalam varian DJVU sebenarnya juga udah ada tools untuk dekripsi yang dibuat oleh Emsisoft. Aku pun langsung unduh dan install tools tersebut harapannya siapa tau semua file yang terenkripsi bisa dipulihkan. Tapi ya harapan itu pun sirna karena setelah menjalankan aplikasi Decryptors dari Emsisoft, muncul notifikasi bahwa hasilnya adalah sbb:

Jadi ketika kita menggunakan file decryptors dari Emsisoft ini, jika muncul tulisan “This ID appears to be an online ID, decryption is impossible” ya udah tandanya memang kita pemilik komputer yang terkena ransomware harus iklas lahir dan batin. Soalnya semua file tidak dapat di dekripsi kecuali bayar tebusan dan dapat kunci hash dari pemberi malware. Tapi kalau kalian terkena ransomware yang enkripsinya masih menggunakan metode offline maka menggunakan emsisoft ini bisa digunakan dan semoga file-file kalian masih bisa pulih.

Pencegahan dari Ransomware

Bagaimana pencegahan dari ransomware varian apapun agar tidak terinfeksi di komputer teman-teman sekalian? Ya mungkin selain selalu mengupdate windows dan microsoft defender antivirus, kalian perlu memasang antivirus lainnya yang sekiranya bisa mencegah ransomware atau ada fitur proteksi ransomware dan ransomware remediation (semacam fitur untuk mereverse / mengembalikan file yang telah terenkripsi oleh ransomware). Beberapa antivirus yang aku temukan dan ada fitur ini pastinya antivirus yang berbayar seperti Kaspersky, TrendMicro, McAfee, Eset dan Bitdefender. Sesuaikan dengan budget kantong kalian sama spesifikasi pc karena pasti banyak fitur akan lebih memberatkan komputer (biasanya) hehehe..

Selain itu, ketika browsing ataupun ada notifikasi apapun, termasuk ada update windows mungkin sebaiknya jangan asal klik. Lebih baik klo update windows itu dari menu check updates di control panel langsung. Mungkin juga bisa dipikirkan untuk tidak menggunakan software bajakan yang ada pat ch/key gen/cr ack nya karena itu rawan disusupi ransomware.

Kesimpulan

Ternyata walaupun kita selalu update windows dan update microsoft defender antivirus, belum tentu kita aman dari ransomware. Lebih baik waspada dan jangan asal klik. Kemudian jangan lupa untuk format seluruh harddisk (sedih) dan install ulang komputer agar benar-benar bersih dari ransomware. Jika kedepannya kalian terkena ransomware, pokoknya langsung matikan jaringan internet, cek pada startup (aplikasi dan registry) dan hapus file yang sekiranya bahaya / tidak dikenal, buka microsoft defender dan cek exclusion (jika ada eksklusin file ransomware maka wajib di remove) dan scan ulang menggunakan antivirus yang sekiranya ampuh. Sekian, semoga kalian gak kena ya 🙂