Apa itu Ransomware WannaCrypt, Cara Kerjanya dan Bagaimana Mengatasinya?

0
60

Apa itu Ransomware WannaCrypt, Cara Kerjanya dan Bagaimana Mengatasinya? – Saat ini sedang hangat dibicarakan mengenai serangan Ransomware WannaCrypt ke berbagai negara di dunia, termasuk Indonesia. Serangan yang menyasar para pemakai operating system Windows ini disebut sebagai aksi teroris siber (cyber terrorism).

Data-data di komputer yang terkena serangan WannaCrypt ini akan terkunci dan muncul pesan untuk membayar kepada mereka sejumlah uang dalam bentuk BitCoin.

Pembayaran harus dilakukan dalam batas waktu tertentu agar data di komputer bisa diselamatkan. Jika tidak, data akan hilang dan sulit untuk dikembalikan.

Berbicara tentang Ransomware WannaCrypt, berikut ulasannya :

Apa itu Ransomware WannaCrypt?

WannaCrypt Ransomware, yang juga dikenal dengan nama WannaCry, WanaCrypt0r atau Wcrypt adalah ransomware yang menargetkan sistem operasi Windows.

Ditemukan pada 12 Mei 2017, WannaCrypt digunakan dalam serangan cyber yang masif dan telah menginfeksi lebih dari 230.000 komputer dengan sistem operasi Windows di 99 negara.

WannaCrypt menjadi populer setelah berhasil menginfeksi komputer-komputer di Layanan Kesehatan Nasional Inggris, perusahaan telekomunikasi Telefónica di Spanyol, dan perusahaan logistik FedEx.

Serangan ransomware itu mengacaukan pelayanan rumah sakit di Inggris. Banyak komputer operasional terpaksa ditutup, sementara staf dipaksa menggunakan pena dan kertas untuk pekerjaan mereka karena komputer yang dikunci oleh Ransomware.

Siapa pencipta Ransomware WannaCrypt?

Belum ada laporan pasti tentang siapa yang telah menciptakan WannaCrypt. Walaupun saat ini ada WanaCrypt0r 2.0 yang merupakan versi kedua dari penciptanya.

Pendahulunya, Ransomware WeCry, ditemukan kembali pada bulan Februari tahun ini dan menuntut 0.1 Bitcoin untuk membuka komputer yang sudah mereka infeksi.

Saat ini, para penyerang dilaporkan menyerang Microsoft Windows menggunakan ‘Eternal Blue‘. Alat ini dicuri dari National Security Agency (NSA) atau Badan Keamanan Nasional Amerika Serikat dan disalahgunakan oleh sebuah kelompok bernama Shadow Brokers.

Bagaimana WannaCrypt Masuk ke Komputer Anda?

Berdasarkan serangan WannaCrypt yang dialami beberapa pihak di seluruh dunia, WannaCrypt memperoleh akses pertama ke sistem komputer melalui lampiran email. Selanjutnya malware ini menyebar dengan cepat melalui LAN.

Ransoware WannaCry ini dapat mengenkripsi hard disk di sistem komputer Anda dan mencoba untuk mengeksploitasi kerentanan Server Message Block (SMB). Setelah itu akan menyebar ke komputer lain melalui port TCP pada jaringan yang sama.

Versi WIndows Apa Saja yang Rentan Ransomware WannaCrypt?

Ransomware ini menyebar dengan menggunakan kerentanan dalam cara kerja Server Message Block (SMB) di sistem Windows. Eksploitasi ini dinamakan sebagai EternalBlue yang kabarnya dicuri dan disalahgunakan oleh sebuah kelompok bernama Shadow Brokers.

Menariknya, EternalBlue adalah senjata hacking yang dikembangkan oleh NSA untuk mendapatkan akses dan perintah komputer dari komputer berbasis OS Microsoft Windows.

Alat canggih ini dirancang khusus untuk unit intelijen militer Amerika guna mendapatkan akses ke komputer yang digunakan oleh para teroris.

WannaCrypt menargetkan semua versi Windows yang belum melakukan update patch MS-17-010, yang diluncurkan Microsoft pada 2017 untuk Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 dan Windows Server 2016.

Pola infeksi yang umum meliputi :

  • Melalui email rekayasa yang dirancang untuk mengelabui pengguna agar menjalankan malware dan mengaktifkan fungsi penyebaran worm dengan memanfaatkan SMB. Sebuah laporan mengatakan bahwa malware dikirim melalui file Microsoft Word yang telah terinfeksi melalui email, disamarkan sebagai tawaran pekerjaan, faktur, atau dokumen lain yang relevan.
  • Infeksi melalui SMB untuk mengeksploitasi komputer yang belum dipasang patch dapat menyebar pada komputer lain di jaringan yang sama.

Dampak Komputer yang Terkena Ransomware WannaCrypt (WannaCry)?

Komputer yang terkena serangan WannaCrypt ini akan mendapatkan beberapa masalah.

File-file dalam komputer akan terkunci. Mouse dan keyboard tidak berfungsi dengan baik.

WannaCrypt mencari seluruh file komputer dengan ekstensi nama seperti jpeg, pdf, doc, dll kemudian mereka akan menambahkan “.WNCRY” ke dalam nama file. WannaCrypt juga menciptakan kunci registri berikut untuk komputer yang telah terinfeksi, :

  • HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ <string acak> = “<direktori kerja malware> \ tasksche.exe”
  • HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “<direktori kerja malware>”
Pesan Virus Wannacry di Komputer (Foto : http://www.thewindowsclub.com)

Virus jahat ini juga akan mengubah wallpaper komputer pada sistem HKCU \ Control Panel \ Desktop \ Wallpaper: “<direktori kerja malware> \ @ WanaDecryptor @ .mmp” seperti pada gambar di atas.

Mereka akan meminta uang tebusan untuk membuka file komputer yang telah didekripsi. Uang tebusan dimulai $ 300 Bitcoin dan akan terus meningkat setiap beberapa jam sekali jika tidak dilakukan pembayaran segera mungkin.

Bagaimana melindungi komputer dari Wannacrypt?

  • Microsoft merekomendasikan upgrade ke Windows 10 karena dilengkapi dengan fitur terbaru dan mitigasi yang proaktif.
  • Instal update keamanan MS17-010 yang dirilis oleh Microsoft. Perusahaan juga telah merilis patch keamanan untuk versi Windows yang tidak support seperti Windows XP, Windows Server 2003, dll.
  • Pengguna Windows disarankan untuk sangat berhati-hati saat membuka lampiran email atau mengklik link web.
  • Windows Defender Antivirus mendeteksi ancaman ini sebagai Ransom: Win32 / WannaCrypt jadi aktifkan dan update dan jalankan Windows Defender Antivirus untuk mendeteksi ransomware ini.
  • Nonaktifkan SMBv1. Baca petunjuknya disini.
  • Pertimbangkan untuk menambahkan aturan pada router atau firewall Anda untuk memblokir lalu lintas SMB yang masuk di port 445
  • Pengguna perusahaan dapat menggunakan Device Guard untuk mengunci perangkat dan memberikan keamanan berbasis virtualisasi tingkat kernel, yang memungkinkan hanya aplikasi tepercaya yang dapat dioperasikan.

Cara Mengatasi Komputer yang Terinfekesi Virus Ransomware WannaCrypt

Langkah pertama, segera putuskan koneksi ke internet Anda. Cabut kabel internet atau jaringan dan matikan router WIFI.

Selain itu, matikan atau non aktifkan fitur Macro di Microsoft Office. Berikut caranya :

  • Buka Ms Word
  • Klik menu “File” kemudian pilih “Options”
  • Klik “Trust Center”
  • Klik “Trust Center settings”
  • Klik “Macro Settings”
  • Check pada pilihan “Disable all macros without notification”
  • Klik “OK”
  • Lakukan hal yg sama pd program Ms Office yg lain seperti Ms Excel, Powerpoint, Access, Outlook.

Jangan lupa untuk mematikan fitur File Sharing/Samba. Ikuti langkah-langkah berikut :

  • Buka Control Panel
  • Klik “Programs”
  • Dibawah bagian “Program and Features” klik “Turn Windows features on or off”
  • Setelah muncul jendela baru, cari check list “SMB 1.0/CIFS File Sharing Support” dan hilangkan tanda check-nya
  • Klik “OK”

Selain itu, Anda juga harus melakukan block port 139/445 dan 3389. Begini caranya:

  • Buka Control Panel
  • Klik “System and Security”
  • Klik “Windows Firewall”
  • Klik “Advanced Settings” pd menu bagian kiri
  • Klik “Inbound Rules”
  • Lihat pada menu bagian kanan Klik “New Rules”
  • Pilih/Klik “Port” dan klik “Next”
  • Pilih/Klik “TCP”
  • Pilih/Klik “Specific local ports:” isikan/ketik: 139, 445, 3389
  • Klik “Next”
  • Pilih/Klik “Block the connection” dan klik “Next”
  • Pastikan Pilihan “Domain”, “Private” dan “Public” terpilih (checked)
  • Klik “Next”
  • Isikan/ketik nama rule, misal: Block Port Ransomware WannaCrypt
  • Klik “Finish”

5. Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh Microsoft. Silakan download di sini.

Demikian ulasan mengenai Ransomware WannaCrypt. Semoga bermanfaat dan silakan SHARE artikel ini agar semakin banyak yang terhindar dari serangan siber ini.

Sumber : The Windows Club

Berikan Komentar Anda via Facebook

comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here