Wannacry menginfeksi sebuah computer dengan meng-enkripsi seluruh file yang ada di komputer tersebut dan dengan menggunakan kelemahan yang ada pada layanan SMB bisa melakukan eksekusi perintah lalu menyebar ke computer windows lain pada jaringan yang sama. Semua komputer yang tersambung ke internet yang masih memiliki kelemahan ini apalagi komputer yang berada pada jaringan yang sama memiliki potensi terinfeksi terhadap ancaman Wannacry. Setiap komputer windows yang sudah terinfeksi akan mendapatkan tampilan seperti gambar page di atas.
Dari tampilan diketahui bahwa Wannacry meminta ransom atau dana tebusan agar file file yang dibajak dengan enkripsi bisa dikembalikan dalam keadaan normal lagi. Dana tembusan yang diminta adalah dengan pembayaran bitcoin yang setara dgn 300 dollar amerika. Wannacry memberikan alamat bitcoin untuk pembayarannya. Disamping itu juga memberikan deadline waktu terakhir pembayaran dan waktu dimana denda tebusan bisa naik jika belum dibayar juga. Padahal belum tentu data yang sudah terkena enkripsi karena malware itu bisa kembali dengan utuh lagi ketika tebusan sudah dibayarkan kepada penyebar WannaCRY.
Berikut beberapa tips menghindari ancaman Ransomware WannaCRY yang telah saya kutip dari beberapa sumber dan mungkin akan terus saya update. Semoga bermanfaat.
13 MEI 2017 - SECURITY AWARENESS
Mohon untuk menjadi perhatian:
Terkait kasus penyebaran virus komputer (ransomeware) yg tengah hangat diperbincangkan di dunia internet berikut ini langkah-langkah tindakan pencegahan untuk melindungi data dikomputer anda:
1.Sebelum PC dihidupkan, diskoneksi PC anda dari jaringan internal. Lakukan backup (atau copy) terhadap file-file penting yang terdapat di PC Anda.
2.Untuk file-file yang berisi informasi rahasia dan sensitif sebaiknya disimpan dalam format archive contoh (.rar) atau (.zip) dan diberi password.
3.Setelah selesai melakukan backup, PC dapat kembali dikoneksikan ke jaringan internal.
4.Lakukan update antivirus pada semua PC pada waktu yang telah ditentukan dengan tetap memperhatikan kebutuhan bandwith operasional.
5.Lakukan full scan antivirus pada semua PC pada waktu yang telah ditentukan.
6.Harap untuk men-non-aktifkan fungsi Macros di PC Anda.
7.Waspada terhadap email phising. Jangan men-klik tautan ataupun attachment di email yang tidak jelas pengirimnya.
8.Matikan segala jenis Share Folder yang terdapat pada jaringan uker Anda.
13 MEI 2017 - SIARAN PERS NO. 55/HM/KOMINFO/05/2017
Lakukan beberapa langkah berikut untuk tindakan pencegahan dari terinfeksi malware ransomare jenis wannacry,
- Cabut Kabel LAN/Wifi
- Lakukan Backup Data
- Update Anti-Virus
- Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoct. Lihat : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Jangan mengaktifkan fungsi macros
- Non aktifkan fungsi SMB v1
- Block 139/445 & 3389 Ports
Ulangi, selalu backup file file penting di komputer anda dan di simpan backupnya ditempat lain
Tindakan Setelah Infeksi :
Saat ini belum ada solusi yang paling cepat dan jitu untuk mengembalikan file file yang sudah terinfeksi wannacry. Akan tetapi memutuskan sambungan internet dari komputer yang terinfeksi akan menghentikan penyebaran wannacry ke komputer lain yang rentan vulnerable.
Sebagai tambahan yang sangat penting, ID-SIRTII menghimbau agar pada hari Senin besok dan kantor akan buka, mohon diwaspadai ancaman ini dan melakukan hal-hal sebagai berikut :
Agar PC-PC dan bentuk Komputer Personal dan Jaringan lainnya jangan terhubung ke LAN dan Internet dulu,
Terlebih dahulu lakukan backup data penting,
Pastikan software anti virus sudah update serta security patch yang disarankan oleh microsoft dilakukan terlebih dahulu.
Untuk konsultasi secara online bisa diakses ke : https://www.nomoreransom.org . Juga, apabila diperlukan informasi dan saran teknis, dapat diemail : incident@idsirtii.or.id .
Kontak Person apabila diperlukan,
Direktur Keamanan Informasi : Aidil Cenderamata 0817758377
Wakil Ketua ID-SIRTII : Salahuddin (Didin) 0816945022
20 MEI 2017 - TIPS MENANGGULANGI RANSOMWARE WANNACRY
Yang dilakukan apabila terkena Ransomware
1. Matikan jaringan (baik lokal maupun Internet)
2. Cek nama Ransomware yang menyerang (biasanya ada file .txt atau file .html yang berisi pesan pembuat Ransomware) apabila nama Ransomware ada di salah satu dari list di bawah ini, berarti Data anda bisa di kembalikan seperti semula, apabila tidak kemungkinan tidak bisa dikembalikan karena metode Enkripsi yang digunakan kebanyakan adalah RSA 2048.
List Ransomware yang sudah ada private key untuk di Dekripsi Datanya:
*cryptolocker
*tesla
*shade versi 1, 2
*rakhni, aura, pletor, rotor, lamer, lortok, cryptokluchen, democry, bitman versi 3 dan 4, chimera
*rannoh, fury, crybola, cryakl, cryptXXX versi 1 dan 2
*coinvault, bitcryptor
*xorist dan vandev
3. Apabila Data yang di enkripsi penting, silahkan Backup ke dalam CD/DVD. Karena bisa jadi Server Database Ransomware tsb berhasil di akses dan dibagikan kunci dekripsinya (Cryptolocker) atau pembuatnya insyaf (Teslacrypt)
4. Lakukan pembersihan secara menyeluruh melalui “Safe Mode” dan lakukan langkah:
• Delete semua temporary file, karena ransomware bersarang di sana
• Disabled autorun
• Disabled startup yang terindikasi Ransomware (run->msconfig->startup)
• Delete semua extensi yang terkena ransomware
5. Terakhir pastikan Eset maupun Mcafee dalam keadaan up-to-date dan Scan PC (hal ini bisa menghapus jenis Ransomware tertentu tetapi tidak bisa mengembalikan Data yang telah di Enkripsi)
Nb: Apabila di rasa kurang efektif, silahkan dilakukan format hardisk dan install ulang.
Sumber :
Bagikan
Tips Menghindari Ancaman Malware Ransomware WannaCRY
4/
5
Oleh
Joshua Favian
Silahkan tulis komentar anda dengan cerdas, sopan dan mudah dipahami. Terimakasih :)