WannaCry/WannaCrypt Ransomware

Hianoto

Sejak hari Jumat lalu, tanggal 12 May 2017, dunia dikejutkan dengan adanya Ransomware baru yang sedang menyebar luas dengan sangat cepat, dinamai WannaCry atau WannaCrypt. Ransomware ini menyerang lebih dari 100 ribu komputer di hampir 100 negara.

Penyebarannya dilakukan melalui beberapa media, yaitu email attachment dan script di website. Selain itu, yang menyebabkan WannaCry bisa menyebar sangat cepat, adalah karena dia memanfaatkan lubang keamanan SMB di Windows.

Tatkala komputer kita terinfeksi Ransomware ini, maka WannaCry akan melakukan enkripsi pada data di harddisk (misalnya file Microsoft Word, Excel, PowerPoint, Visio, Outlook, file source code program dan database, file Virtual Machine, file gambar dan video, dll) dan selanjutnya menampilkan layar sebagai berikut:

Untuk mencegah penyebaran lebih lanjut, kita harus melakukan beberapa hal berikut:

Best practices untuk mencegah serangan ransomware di antaranya adalah:

  • Melakukan backup data secara teratur, gunakan penyimpanan backup yang terpisah dan disimpan secara offline
  • Menggunakan antivirus yang baik, serta melakukan update antivirus secara berkala setiap hari
  • Menggunakan personal firewall yang dikonfigurasi dengan baik untuk mengamankan komputer kita
  • Melakukan update untuk Operating System dan aplikasi yang terpasang
  • Menggunakan logika pemikiran yang lebih berhati-hati, dengan tidak membuka attachment email sembarangan (walaupun dikirim dari orang-orang yang Anda kenal secara pribadi), tidak membuka link URL dalam email ataupun broadcast WhatsApp/Telegram/Line/Facebook/social media lainnya sebelum menganalisa apakah URL tersebut menggunakan domain yang kredibel dan sesuai konteks atau tidak
  • Melakukan virus scanning secara mendalam, sebelum menggunakan external harddisk, USB flashdisk, memory card, ataupun media penyimpanan data lainnya

 

Bagi yang tertarik mengetahui lebih detil, Anda bisa melihat diagram alur eksekusi di bawah ini, dengan pembahasan di https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis:

Hati-hati, di beberapa media diutarakan bahwa Ransomware WannaCry ini sudah dilumpuhkan dengan adanya tindakan seorang ahli keamanan di MalwareTech yang mendaftarkan sebuah domain sebagai kill switch yang menyebabkan WannaCry ini tidak lagi melakukan aksinya.

Jadi, tatkala WannaCry berhasil connect ke domain tersebut (yang versi 1 adalah iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com dan ada varian lain yaitu ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com), maka justru WannaCry tidak akan melakukan apapun. Namun, jika tidak berhasil connect, WannaCry akan memicu dirinya untuk beraksi (lihat fungsi detonate() dipanggil dalam source code di atas)

Hati-hati, jangan lengah atas informasi kedua domain sudah diamankan karena untuk versi dan varian lain, metode kill switch ini sudah dipastikan tidak lagi digunakan.

About Hianoto

Hianoto

Saya seorang penggemar kuliner, pembaca buku, dan penyuka belajar. Sehari-harinya, saya berkutat di bidang Information Technology, baik sisi teknis maupun non-teknis, bersama team saya yang sungguh awesome.

Di web Hianoto.net ini, saya akan berbagi berbagai informasi kuliner, buku, pembelajaran, dan tentunya tentang IT juga .

Enjoy yourself, as much as I do when developing this website.

Leave a Comment

Your email address will not be published. Required fields are marked *