Penanganan Ransomware WannaCry

Pertama, tidak usah panik. Ini bukan ransomware yang pertama (dan bukan yang terakhir pula).

Beberapa hari yang lalu muncul Ransomware WannaCry (dan variasinya) yang mengancam banyak komputer di dunia. Dikarenakan banyaknya komputer yang terancan, maka tulisan ini dibuat. Urutan penulisan tidak lazim. Biasanya di awal ada pengantar dahulu dan kemudian baru pembahasan. Namun karena yang diutamakan aalah penanganannya, maka bagian tersebut ditampilkan di awal.

Sistem Yang Terkena

Sistem yang terkena oleh Ransomsware WannaCry ini adalah sistem operasi Microsoft Windows (semua). Desktop ataupun notebook, selama menggunakan sistem operasi tersebut, termasuk yang rentan. Lengkapnya dapat dilihat pada bagian “Bahan Bacaan”.

Penanganan

Instruksi singkat untuk menangani ransomware WannaCry adalah sebagai berikut:

  1. melakukan backup;
  2. memperbaiki sistem operasi (OS) Microsoft dengan memasang patch MS17–010;
  3. menonaktifkan SMB (yang biasa digunakan untuk file sharing) jika memungkinkan;
  4. blok port TCP: 139/445 & 3389 dan UDP: 137 & 138, yang digunakan untuk melakukan penyerangan (jika memungkinkan).

Jika komputer sudah terkena maka dapat dilakuan proses pemasangan ulang (reinstall) sistem operasi Windows.

[Update] Ada kelemahan dari versi yang ada, sehingga memungkinkan dibuatkan Decryption Tool. Informasi mengenai decryption tool dapat diperoleh dari link berikut ini.

Ada informasi yang mengatakan bahwa password yang digunakan untuk mengenkripsi adalah “WNcry@2ol7” (tanpa tanda kutip), tetapi hal ini belum dapat kami konfirmasi.

Instruksi (keterangan) yang lebih panjang adalah sebagai berikut.

Ada beberapa hal yang kadang menyulitkan penanganan di atas atau perlu mendapatkan perhatian. Misalnya ada beberapa sistem dan aplikasi yang membutuhkan fitur file sharing atau menggunakan port 139/445. Jika fitur itu dimatikan (disable, block) maka aplikasi atau layanan tersebut dapat tidak berfungsi. Untuk itu pastikan dahulu bahwa penonaktifan dan pemblokiran ini tidak menghambat aplikasi Anda. Hal ini biasanya relevan terhadap server. Untuk komputer / notebook pengguna biasa, biasanya hal ini tidak terlalu masalah.

Ketika melakukan proses backup, sebaiknya komputer tidak terhubung ke internet atau jaringan komputer. Dikhawatirkan ketika backup sedang berlangsung, komputer terinfeksi ransomware tersebut.Yang menyulitkan adalah jika proses backup dilakukan melalui jaringan (misal backup secara online di Dropbox, Google Drive, dan sejenisnya), maka komputer Anda ya harus terhubung dengan jaringan.

Jika tidak ada data yang penting pada komputer tersebut, proses backup dapat diabaikan. (Meski hal ini tidak disarankan.)

Mematikan fitur SMB bergantung kepada versi dari Windows yang digunakan. Link dari Microsoft ini dapat membantu. Singkatnya adalah dengan tidak mencentang pilihan SMB 1.0/CIFS File Sharing Support sebagaimana ditampilkan pada gambar berikut.

smb-share

Penjelasan Yang Lebih Mendalam

Ransomware adalah software yang termasuk kepada kategori malware, malicious software (software yang memiliki itikad jahat). Ransomware biasanya mengubah sistem sehingga pengguna tidak dapat mengakses sistem atau berkas dengan berbagai cara. Salah satu caranya adalah melakukan proses enkripsi dengan kunci tertentu. Berkas aslinya dihapus. Untuk mengembalikan berkas yang sudah terenkripsi tersebut, pengguna harus mendapatkan kunci dari penyerang. Biasanya penyerang meminta bayaran. Itulah sebabnya dia disebut ransomware. Untuk kasus WannaCry ini, permintaan bayarannya bervariasi dari US$300-US$600.

Ada banyak ransomware dan tidak dibahas pada tulisan ini karena akan menjadi sangat panjang.

WannaCry (atau WannaCrypt) menggunakan kerentanan (vulnerability) sistem operasi Windows yang diduga kemudian dieksploitasi oleh NSA (dikenal dengan nama EternalBlue). Tools tersebut ternyata bocor ke publik dan kemudian dikembangkan menjadi basis dari WannaCry ransomware ini.

Penyebaran. Ada dua cara penyebaran; pada tahap awal dan pada tahap setelah ada ransomware yang terpasang.

Umumnya malware (termasuk ransomware ini) pada awalnya menyebar melalui social engineering (tipu-tipu). Ada varian dari ransomware yang menempel pada attachment PDF atau berkas lain yang dikirimkan via email. Penerima diminta untuk mengklik attachment itu. (Itulah sebabnya jangan sembarangan mengklik.) Jika diklik, maka ransomware tersebut akan memasang dirinya di sistem.

Setelah berhasil menginfeksi sistem, maka untuk versi 1, malware ini akan memastikan kill switch tidak aktif. (Akan dibahas selanjutnya.) Jika kill switch ini ada maka malware akan berhenti. Jika kill switch ini tidak ada, maka malware akan melakukan scanning ke jaringan mencari komputer-komputer lain di jaringan yang memiliki kerentanan SMB ini. Setelah itu dia akan melakukan penyerakan dengan membuat paket khusus yang diarahkan ke port-port yang digunakan oleh SMB (139, 445, 3389). Inilah cara penyebarannya melalui jaringan. Penyebaran yang ini seperti worm.

(Itulah sebabnya sebaiknya port-port tersebut diblokir jika tidak dibutuhkan. Jika Anda memiliki perangkat network monitoring, perhatikan apakah ada peningkatan traffic pada port-port tersebut. Jika ada, perhatikan sumber / source IP dari paket-paket tersebut. Boleh jadi komputer tersebut sudah terkena ransomware.)

Kill switch. Ternyata ransomware versi awal ini memiliki fitur kill switch, yaitu sebuah mekanisme untuk menghentikan dirinya sendiri. Jika domain http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com tersedia dan berjalan, maka ransomware ini akan menghentikan dirinya. (Hal ini ditemukan secara tidak sengaja oleh seorang peneliti malware. Dia kemudian mendaftarkan domain tersebut sehingga penyebaran versi awal dari WannaCry ini terhenti secara tidak sengaja. Ceritanya ada di sini.) Namun saat ini sudah ada WannaCry versi 2.0 yang tidak memiliki kill switch ini.

Penutupan Port. Port 139/445 pada sistem Windows digunakan untuk berbagai layanan, salah satunya adalah untuk file sharing / printer sharing. Port ini sudah sering digunakan sebagai bagian dari penyerangan (malware, cracking). Sebaiknya port-port ini ditutup. (Cara penutupannya akan dibahas terpisah. Biasanya terkait dengan layanan file sharing seperti di bahas pada bagian atas.)

Namun jika port ini ditutup, maka ada kemungkinan beberapa layanan yang biasa Anda lakukan (sharing) tidak berfungsi. Jika demikian (port tersebut harus aktif) maka gunakan alternatif perlindungan lain (misal dengan menggunakan firewall) untuk memastikan bahwa port tersebut hanya dapat diakses secara terbatas (oleh komputer yang Anda kenali).

Biasanya kami memang menyarankan untuk memblokir port ini. Sebaiknya port-port ini juga difilter di router jika tidak ada layanan sharing yang menyeberang lintas segmen jaringan. (Umumnya memang konfigurasi standar yang aman seperti ini. Jika tidak, nampaknya Anda harus membenahi keamanan jaringan Anda.)

Lain-lain

Tulisan ini akan diperbaiki secara berkala mengingat perkembangan (perubahan) status dari ransomware ini yang cepat berubah. Silahkan kunjungi untuk mendapatkan perubahan tersebut.

Bahan Bacaan

  1. Microsoft Security Bulletin MS17-010 – Critical: informasi mengenai sistem operasi apa saja yang terkena (hampir semua OS Windows yang masih digunakan saat ini), ketersediaan patch, dan rincian lain untuk memperbaiki.
  2. Untuk sistem yang sudah kadaluwarsa (Windows XP, Vista, Windows 8, Server 2003 dan 2008 Editions), Microsoft mengeluarkan emergency patch yang dapat diambil di sini.
  3. Cara untuk enable/disable SMB: agak sedikit teknis dan rinci.
  4. Decryption Tool: untuk membuka yang sudah terkena
  5. WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm: di github berisi banyak link terkait dengan WannaCry tersebut; terutama informasi teknis singkatnya.

Belajar (Sambil Nonton)

Hari Rabu ini (17 Mei 2017) saya berniat untuk hadir di acara ini; Konser Musik dari mas Yockie Suryo Prayogo. [Lihat posternya.] Yang mengisi acaranya bukan hanya mas Yockie sendiri, tapi banyak musisi / penyanyi yang berkualitas. Saya sudah nonton berbagai konsernya. Keren-keren dan tidak membosankan.

18422397_724427514428427_8031676336600894694_o

Biasanya orang nonton konser hanya untuk bersenang-senang, tetapi kalau sama mas Yockie ini kita mau belajar. Dalam beberapa kali pertemuan dengan mas Yockie, umumnya informal sambil ngopi-nopi, saya banyak belajar. Ada banyak seluk beluk industri musik dan kebudayaan yang tidak muncul ke permukaan. Dalam diskusi baru bisa dipahami mengapa demikian. Nah, konser ini merupakan salah satu media untuk belajar.

Saya banyak berharap agar banyak anak muda yang hadir sehingga dunia musik Indonesia dapat lebih maju.

Jreng ah! Sudah beli tiketnya? Saya sudah …

Ego dan Kesabaran

Jika ada satu pelajaran yang paling berat bagi saya, maka pelajaran itu adalah “menahan ego” dan “ujian kesabaran”. Ada terlalu banyak hal yang membuat ego kita tersenggol. Sesuatu yang kita anggap penting, dilecehkan oleh seseorang, maka kita marah. Kita merasa diabaikan atau diremehkan oleh orang lain, marah juga.

Di dunia media sosial, apa lagi. Sangat mudah orang (yang tidak kita kenal dan tidak kenal kita) langsung membuat pernyataan-pernyataan yang menyenggol ego kita. Saya sih sering mengalami hal itu. Ha ha ha.

Bagaimana menekan ego itu? Dengan kesabaran.

Sabar. Sebuah kata yang berat. Ini juga ujian yang paling sering saya hadapi. Mungkin Anda juga menghadapinya tetapi tidak sadar. Saya selalu menyadarkan diri. Ini ujian kesabaran. Maka saya menantang diri saya sendiri.

“Hei diri sendiri. Mampukah kau bersabar? Mampukah kau membuang egomu?”

Itulah sebabnya, salah satu surat di Al-Qur’an yang paling saya senangi adalah “Al-Ashr” (Waktu) (QS:103).

Demi masa. Sesungguhnya manusia itu benar-benar dalam kerugian, kecuali orang-orang yang beriman dan mengerjakan amal saleh dan nasehat menasehati supaya mentaati kebenaran dan nasehat menasehati supaya menetapi kesabaran.” (QS. Al ‘Ashr: 1-3).

Banyak-banyaklah bersabar kepada orang-orang yang Anda cintai dan hormati. Buanglah ego terhadap mereka.

Tidak Membalas Komentar

Secara umum, kebijakan saya di blog ini dari dahulu sampai sekarang masih tetap sama: “tidak membalas komentar“. Padahal kalau membalas komentar, maka akan lebih banyak interaksi dan lebih menarik. Nilai blognya lebih tinggi. Tetapi saya masih tetap bertahan dengan pakem itu. Mengapa?

Kalau saya membalas semua komentar, maka habis deh waktu saya hanya untuk membalas komentar-komentar. Banyak komentar yang dapat dibalas oleh pembaca lainnya. Ini juga untuk menunjukkan bahwa saya bukan serba tahu.

Tentu saja ada pengecualian. Ada komentar-komentar yang memang membutuhkan jawaban yang dapat bermanfaat bagi pembaca lainnya. Sementara itu belum ada orang yang menuliskan balasan itu. Nah, untuk hal-hal semacam ini biasanya saya membalas komentar.

Di lingkungan media sosial, hal ini lebih relevan lagi. Tidak semua komentar di media sosial pantas untuk ditanggapi. Ada orang yang menulis komentar secara sembarangan. Marah-marah pula. Kalau ditanggapi, tambah marah-marah. Apalagi kalau dia kita kritik. Banyak orang yang mengkritik, tetapi tidak mau (tidak siap) dikritik. ha ha ha. Tidak ada pelajaran positif yang dapat diambil dari hal ini. Lebih baik diamkan saja. Tidak usah ditanggapi komentarnya.

Oh ya, saya membaca (hampir) semua komentar di blog ini.

Ngoprek IoT Lagi

Minggu pagi, enaknya ngoprek hardware lagi. Ngoprek Internet of Things (IoT) lagi. Maka digelarlah berbagai komponen dan perangkat di atas meja.

P_20170507_080328-01 IoT

Ada banyak yang ingin saya kerjakan. Satu-satu dioprek.

Weather station. Ada perangkat IoT untuk menangkap data cuaca. Coba cari yang mana di atas meja itu. Sudah ketemu. Pertama kali mau ngoprek, cek dulu apakah ada batrenya. Eh ternyata di perangkatnya belum ada batrenya. Ada yang membutuhkan 3 batre AA yang rechargeable. Untuk yang sensor suhu, kelembaban, dan tekanan juga membutuhkan batre (2 AAA tidak perlu rechargeable.) Yaaah. Terpaksa harus ditunda dulu ngopreknya. Besok beli batrenya ah.

P_20170507_082611-weather-01

Acer CloudProfessor (CFP). Yang ini berupa sebuah perangkat (Acer CloudProfessor, atau kita singkat saja CFP) dan beberapa sensor lainnya. CFP ini berupa sebuah perangkat yang terhubung ke cloud-nya Acer. (Di foto dia yang berwana hitam.)

IMG_20170507_100812-01

CFP ini dapat dihubungkan dengan berbagai sensor dan actuator. Sebagai contoh, dia dapat dihubungan dengan LED. Nantinya ada aplikasi di handphone yang dapat kita gunakan untuk mengendalikan LED itu melalui cloud. Ada juga sensor cahaya dan ada motor yang dapat dipasang menjadi kipas.

Sensor/LED - Acer CFP - cloud - handphone

Saya bahkan mencoba oprekan lain, yaitu mengendalikan kipas dengan handphone. Kipas ini terhubung dengan Arduino Leonardo yang di atasnya dipasang expansion board. Videonya dapat dilihat di sini:

Demikian ngoprek IoT di hari Minggu ini. Ngoprek akan dilanjutkan lagi sore hari. Nanti mau ngoprek BLE (Bluetooth LE). Kalau sempat.

Hindari Kebiasaan Mencela

Salah satu biang keributan adalah mencela seseorang. Orang yang dicela tidak terima dan balik mencela. Cela-mencela. Akhirnya jadi baku hantam. Atau, setidaknya berkelahi di media sosial. Kebencian ini juga akhirnya terbawa ke dunia nyata.

Kalau dicari-cari, pasti setiap orang memiliki kelemahan dan kesalahan. Namanya juga manusia. Bukan malaikat. Maka apa hebatnya mencela? Kalau monyet bisa bicara, mungkin mereka akan menertawakan kita karena kebisaan kita hanya mencela. (Kalau pandai memanjat pohon, mungkin monyet akan kagum. he he he.)

Dari kebiasaan muncul kebudayaan. Akan sangat menyedihkan kalau yang dikenal orang dari budaya Indonesia adalah budaya mencela. Banyak bangsa yang menghasilkan kebudayaan yang tinggi. Nah, kita mosok hanya menghasilkan kebudayaan mencela. Ini juga nanti tercatat lho seperti halnya kebudayaan bangsa jaman dahulu yang tercatat dalam artifak-artifak sejarah; prasasti, candi, dan bahkan dalam  landmark-landmark. Malu ah.

Hentikan kebiasaan mencela!

Kalau ada yang mencela atau mengajak kita mencela atau bahkan sekedar mengajak kita tertawa dalam celaannya, tinggalkan. Tidak lucu.