Penanganan Ransomware WannaCry

Pertama, tidak usah panik. Ini bukan ransomware yang pertama (dan bukan yang terakhir pula).

Beberapa hari yang lalu muncul Ransomware WannaCry (dan variasinya) yang mengancam banyak komputer di dunia. Dikarenakan banyaknya komputer yang terancan, maka tulisan ini dibuat. Urutan penulisan tidak lazim. Biasanya di awal ada pengantar dahulu dan kemudian baru pembahasan. Namun karena yang diutamakan aalah penanganannya, maka bagian tersebut ditampilkan di awal.

Sistem Yang Terkena

Sistem yang terkena oleh Ransomsware WannaCry ini adalah sistem operasi Microsoft Windows (semua). Desktop ataupun notebook, selama menggunakan sistem operasi tersebut, termasuk yang rentan. Lengkapnya dapat dilihat pada bagian “Bahan Bacaan”.

Penanganan

Instruksi singkat untuk menangani ransomware WannaCry adalah sebagai berikut:

  1. melakukan backup;
  2. memperbaiki sistem operasi (OS) Microsoft dengan memasang patch MS17–010;
  3. menonaktifkan SMB (yang biasa digunakan untuk file sharing) jika memungkinkan;
  4. blok port TCP: 139/445 & 3389 dan UDP: 137 & 138, yang digunakan untuk melakukan penyerangan (jika memungkinkan).

Jika komputer sudah terkena maka dapat dilakuan proses pemasangan ulang (reinstall) sistem operasi Windows.

[Update] Ada kelemahan dari versi yang ada, sehingga memungkinkan dibuatkan Decryption Tool. Informasi mengenai decryption tool dapat diperoleh dari link berikut ini.

Ada informasi yang mengatakan bahwa password yang digunakan untuk mengenkripsi adalah “WNcry@2ol7” (tanpa tanda kutip), tetapi hal ini belum dapat kami konfirmasi.

Instruksi (keterangan) yang lebih panjang adalah sebagai berikut.

Ada beberapa hal yang kadang menyulitkan penanganan di atas atau perlu mendapatkan perhatian. Misalnya ada beberapa sistem dan aplikasi yang membutuhkan fitur file sharing atau menggunakan port 139/445. Jika fitur itu dimatikan (disable, block) maka aplikasi atau layanan tersebut dapat tidak berfungsi. Untuk itu pastikan dahulu bahwa penonaktifan dan pemblokiran ini tidak menghambat aplikasi Anda. Hal ini biasanya relevan terhadap server. Untuk komputer / notebook pengguna biasa, biasanya hal ini tidak terlalu masalah.

Ketika melakukan proses backup, sebaiknya komputer tidak terhubung ke internet atau jaringan komputer. Dikhawatirkan ketika backup sedang berlangsung, komputer terinfeksi ransomware tersebut.Yang menyulitkan adalah jika proses backup dilakukan melalui jaringan (misal backup secara online di Dropbox, Google Drive, dan sejenisnya), maka komputer Anda ya harus terhubung dengan jaringan.

Jika tidak ada data yang penting pada komputer tersebut, proses backup dapat diabaikan. (Meski hal ini tidak disarankan.)

Mematikan fitur SMB bergantung kepada versi dari Windows yang digunakan. Link dari Microsoft ini dapat membantu. Singkatnya adalah dengan tidak mencentang pilihan SMB 1.0/CIFS File Sharing Support sebagaimana ditampilkan pada gambar berikut.

smb-share

Penjelasan Yang Lebih Mendalam

Ransomware adalah software yang termasuk kepada kategori malware, malicious software (software yang memiliki itikad jahat). Ransomware biasanya mengubah sistem sehingga pengguna tidak dapat mengakses sistem atau berkas dengan berbagai cara. Salah satu caranya adalah melakukan proses enkripsi dengan kunci tertentu. Berkas aslinya dihapus. Untuk mengembalikan berkas yang sudah terenkripsi tersebut, pengguna harus mendapatkan kunci dari penyerang. Biasanya penyerang meminta bayaran. Itulah sebabnya dia disebut ransomware. Untuk kasus WannaCry ini, permintaan bayarannya bervariasi dari US$300-US$600.

Ada banyak ransomware dan tidak dibahas pada tulisan ini karena akan menjadi sangat panjang.

WannaCry (atau WannaCrypt) menggunakan kerentanan (vulnerability) sistem operasi Windows yang diduga kemudian dieksploitasi oleh NSA (dikenal dengan nama EternalBlue). Tools tersebut ternyata bocor ke publik dan kemudian dikembangkan menjadi basis dari WannaCry ransomware ini.

Penyebaran. Ada dua cara penyebaran; pada tahap awal dan pada tahap setelah ada ransomware yang terpasang.

Umumnya malware (termasuk ransomware ini) pada awalnya menyebar melalui social engineering (tipu-tipu). Ada varian dari ransomware yang menempel pada attachment PDF atau berkas lain yang dikirimkan via email. Penerima diminta untuk mengklik attachment itu. (Itulah sebabnya jangan sembarangan mengklik.) Jika diklik, maka ransomware tersebut akan memasang dirinya di sistem.

Setelah berhasil menginfeksi sistem, maka untuk versi 1, malware ini akan memastikan kill switch tidak aktif. (Akan dibahas selanjutnya.) Jika kill switch ini ada maka malware akan berhenti. Jika kill switch ini tidak ada, maka malware akan melakukan scanning ke jaringan mencari komputer-komputer lain di jaringan yang memiliki kerentanan SMB ini. Setelah itu dia akan melakukan penyerakan dengan membuat paket khusus yang diarahkan ke port-port yang digunakan oleh SMB (139, 445, 3389). Inilah cara penyebarannya melalui jaringan. Penyebaran yang ini seperti worm.

(Itulah sebabnya sebaiknya port-port tersebut diblokir jika tidak dibutuhkan. Jika Anda memiliki perangkat network monitoring, perhatikan apakah ada peningkatan traffic pada port-port tersebut. Jika ada, perhatikan sumber / source IP dari paket-paket tersebut. Boleh jadi komputer tersebut sudah terkena ransomware.)

Kill switch. Ternyata ransomware versi awal ini memiliki fitur kill switch, yaitu sebuah mekanisme untuk menghentikan dirinya sendiri. Jika domain http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com tersedia dan berjalan, maka ransomware ini akan menghentikan dirinya. (Hal ini ditemukan secara tidak sengaja oleh seorang peneliti malware. Dia kemudian mendaftarkan domain tersebut sehingga penyebaran versi awal dari WannaCry ini terhenti secara tidak sengaja. Ceritanya ada di sini.) Namun saat ini sudah ada WannaCry versi 2.0 yang tidak memiliki kill switch ini.

Penutupan Port. Port 139/445 pada sistem Windows digunakan untuk berbagai layanan, salah satunya adalah untuk file sharing / printer sharing. Port ini sudah sering digunakan sebagai bagian dari penyerangan (malware, cracking). Sebaiknya port-port ini ditutup. (Cara penutupannya akan dibahas terpisah. Biasanya terkait dengan layanan file sharing seperti di bahas pada bagian atas.)

Namun jika port ini ditutup, maka ada kemungkinan beberapa layanan yang biasa Anda lakukan (sharing) tidak berfungsi. Jika demikian (port tersebut harus aktif) maka gunakan alternatif perlindungan lain (misal dengan menggunakan firewall) untuk memastikan bahwa port tersebut hanya dapat diakses secara terbatas (oleh komputer yang Anda kenali).

Biasanya kami memang menyarankan untuk memblokir port ini. Sebaiknya port-port ini juga difilter di router jika tidak ada layanan sharing yang menyeberang lintas segmen jaringan. (Umumnya memang konfigurasi standar yang aman seperti ini. Jika tidak, nampaknya Anda harus membenahi keamanan jaringan Anda.)

Lain-lain

Tulisan ini akan diperbaiki secara berkala mengingat perkembangan (perubahan) status dari ransomware ini yang cepat berubah. Silahkan kunjungi untuk mendapatkan perubahan tersebut.

Bahan Bacaan

  1. Microsoft Security Bulletin MS17-010 – Critical: informasi mengenai sistem operasi apa saja yang terkena (hampir semua OS Windows yang masih digunakan saat ini), ketersediaan patch, dan rincian lain untuk memperbaiki.
  2. Untuk sistem yang sudah kadaluwarsa (Windows XP, Vista, Windows 8, Server 2003 dan 2008 Editions), Microsoft mengeluarkan emergency patch yang dapat diambil di sini.
  3. Cara untuk enable/disable SMB: agak sedikit teknis dan rinci.
  4. Decryption Tool: untuk membuka yang sudah terkena
  5. WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm: di github berisi banyak link terkait dengan WannaCry tersebut; terutama informasi teknis singkatnya.
Iklan

27 pemikiran pada “Penanganan Ransomware WannaCry

  1. Terima kasih atas panduannya, Pak. Kebetulan saya juga membuat tutorial teknis yang merupakan turunan dari panduan kemenkominfo yang disebarkan di instagram resmi milik mereka. Di sini: https://ventjejeremias.wordpress.com/2017/05/14/selamatkan-diri-dari-ransomware/

    Lebih fokus ke update patch, pemblokiran port, dan SMB. Saya setuju juga harus ada prosedur backup dari kita sebagai pengguna, terutama data-data yang harus ada bagi kita walau serangan apapun terjadi. Itu harus dipastikan bisa kita akses kapanpun. Bisa lewat backup ke dropbox, mega, atau google drive.

  2. Bantu jawab ya.. fungsi macros itu fungsi yg ada di Microsoft Office (Excel, Word, dll) yg fungsinya utk merekam perintah2 yg kita gunakan di dokumen.

    Cara non aktifkan macros :
    1. Klik Microsoft Office Button -> Excel Options / Word Options (tergantung office yg dipakai)
    (utk versi lama pilih tab File -> Options)
    2. Pilih Trust Center
    3. Pilih Disable all macros with/without notification

  3. mau tanya, apakah kalo menonaktifkan port-port tersebut berpengaruh ke client-server? karena di kantor saya ada sistem client-server-printer (sync data)

    kalo saya nonaktifkan port-port tersebut apakah client-server-printer masih bisa berhubungan/sync ?

  4. @Aji Prayoga,, ,menurut saya berpengaruh karna saya pake sistem sperti itu,, ada solusi berhubung saya pake mikrotik saya atur rule firewall agar port2 yang berhubungan dengan #wannacry di blokir sementara client server tetap dapat berinteraksi sync data dll…

  5. Pak, sy sedang memcoba step untuk enable/disable SMB dengan
    control panel > programs > programs and features > turn windows features on or off. Tetapi di kotak jendela “windows features” yg muncul, tidak terdapat pilihan SMB seperti pada semua tutorial yg sy baca. Itu kira2 kenapa ya? Karena tdk ada, apa cukup hanya dengan block port terkait sj? Karena memang pilihan utk disabled SMB tidak ada di laptop sy.
    Sy coba dengan windows powershell > run as administrator > pesan error “this operation has been cancelled due to restriction in effect on this computer. Please contact your system administrator”. Sy pakai windows 7. Tolong pencerahannya.
    Terima Kasih

  6. Saya orang awam dan agak bingung mengenai pencegahan ransomware wannacrypt. Sy sudah cari di internet tapi semua hanya menuliskan cara pencegahan tidak ada penjelasan secara detail caranya bagaimana. Dan sy tidak punya teman yg jago IT. Apakah bisa di jelaskan step by step tentang : 1. Cara instal patch ms17-010 karna saat sy klik linknya disitu ada banyak pilihan. 2. Antivirus apa saja yg meliputi anti ransomware dan bisa download dimana? 3. Sy sudah mencari di micrososft features tapi tidak di temukan SMB. 4. Bagaimana cara memblokir port?

  7. “Ada informasi yang mengatakan bahwa password yang digunakan untuk mengenkripsi adalah “WNcry@2ol7” (tanpa tanda kutip), tetapi hal ini belum dapat kami konfirmasi.”

    Setiap file dokumen yang dibajak dienkripsi dengan kunci yang berbeda-beda, kunci ini dikunci lagi dengan public key WannaCry dan disimpan di header file dokumen yang terenkripsi. Tidak ada cara lain kecuali mendapatkan private key-nya. Bagi yang bisa “memancing” dengan cara membayar Bitcoin dan beneran diberikan dekriptornya, proses ini dapat dicegat dan direverse engineering. Password “WNcry@2ol7” hanya password ZIP untuk malware meng-extract payload dirinya di PC, bukan password decrypt untuk dokumen yang dibajak.Tidak benar sudah ditemukan versi 2.0 yang tidak memiliki killer switch, aka HOAX, peneliti av yang mengeluarkan statement tersebut sudah mengkoreksinya.

  8. (1) nah ini memang masih masalah. selain coba-coba, masih belum menemukan cara yang lebih efektif.
    (2) hampir semua anti virus sekarang sudah dapat mengenali malware (termasuk ransomware tentunya).
    (3) dan (4) nanti dibuatkan yang lebih rinci lagi caranya karena ini sangat bergantung kepada versi Windows yang digunakan.

  9. Terimakasih tipsnya, sejak ada serangan jadi lebih sering-sering update antivirus, biasanya jarang bahkan di nonaktifkan hehehe 😀

  10. Pelajaran berharga bg bnyk pihak..

    dan menjadi acuan kedepan bagaimana mengatasi malware2 sejenis berikutnya yg mngkin lebih ganas lagi..

  11. Keep up the good piece of work, I read few posts on this website and I believe that your weblog is real interesting and has got lots of superb information.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s