Sejak hari Jumat lalu, tanggal 12 May 2017, dunia dikejutkan dengan adanya Ransomware baru yang sedang menyebar luas dengan sangat cepat, dinamai WannaCry atau WannaCrypt. Ransomware ini menyerang lebih dari 100 ribu komputer di hampir 100 negara.
Penyebarannya dilakukan melalui beberapa media, yaitu email attachment dan script di website. Selain itu, yang menyebabkan WannaCry bisa menyebar sangat cepat, adalah karena dia memanfaatkan lubang keamanan SMB di Windows.
Tatkala komputer kita terinfeksi Ransomware ini, maka WannaCry akan melakukan enkripsi pada data di harddisk (misalnya file Microsoft Word, Excel, PowerPoint, Visio, Outlook, file source code program dan database, file Virtual Machine, file gambar dan video, dll) dan selanjutnya menampilkan layar sebagai berikut:
Untuk mencegah penyebaran lebih lanjut, kita harus melakukan beberapa hal berikut:
- Meng-install patch di Microsoft Security Bulletin MS17-010. Apabila kita menggunakan Windows yang telah berakhir masa dukungannya (end of support), maka kita bisa download patch-nya di http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
- Mem-blokir traffic SMB ports (UDP 137, 138 dan TCP 139, 445) dan/atau menonaktifkan SMBv1 sesuai dengan artikel di https://support.microsoft.com/en-us/help/2696547.
Best practices untuk mencegah serangan ransomware di antaranya adalah:
- Melakukan backup data secara teratur, gunakan penyimpanan backup yang terpisah dan disimpan secara offline
- Menggunakan antivirus yang baik, serta melakukan update antivirus secara berkala setiap hari
- Menggunakan personal firewall yang dikonfigurasi dengan baik untuk mengamankan komputer kita
- Melakukan update untuk Operating System dan aplikasi yang terpasang
- Menggunakan logika pemikiran yang lebih berhati-hati, dengan tidak membuka attachment email sembarangan (walaupun dikirim dari orang-orang yang Anda kenal secara pribadi), tidak membuka link URL dalam email ataupun broadcastWhatsApp/Telegram/Line/Facebook/social media lainnya sebelum menganalisa apakah URL tersebut menggunakan domain yang kredibel dan sesuai konteks atau tidak
- Melakukan virus scanning secara mendalam, sebelum menggunakan external harddisk, USB flashdisk, memory card, ataupun media penyimpanan data lainnya
Bagi yang tertarik mengetahui lebih detil, Anda bisa melihat diagram alur eksekusi di bawah ini, dengan pembahasan di https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis:
Hati-hati, di beberapa media diutarakan bahwa Ransomware WannaCry ini sudah dilumpuhkan dengan adanya tindakan seorang ahli keamanan di MalwareTech yang mendaftarkan sebuah domain sebagai kill switch yang menyebabkan WannaCry ini tidak lagi melakukan aksinya.
Jadi, tatkala WannaCry berhasil connect ke domain tersebut (yang versi 1 adalah iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com dan ada varian lain yaitu ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com), maka justru WannaCry tidak akan melakukan apapun. Namun, jika tidak berhasil connect, WannaCry akan memicu dirinya untuk beraksi (lihat fungsi detonate() dipanggil dalam source code di atas)
Hati-hati, jangan lengah atas informasi kedua domain sudah diamankan karena untuk versi dan varian lain, metode kill switch ini sudah dipastikan tidak lagi digunakan.
