Tentang Ransomware Petya

[Lagi asyik-asyiknya liburan, eh ada masalah keamanan lagi. Terpaksa ngeblog dulu.]

Lagi-lagi ramai tentang ransomware. Kali ini ransomware yang muncul diberi nama Petya. (Nama Petya ini sebetulnya kurang tepat karena pada awalnya diduga ransomware ini memiliki kesamaan dengan kode ransomware lama yang bernama Petya, namun ternyata kodenya berbeda. Maka muncullah nama pelesetan lain, seperti NotPetya, ExPetya, Goldeneye, dan seterusnya.)

Seperti halnya ransomware lainya, Petya juga mengunci berkas di komputer target dan meminta pembayaran melalui Bitcoin. Setelah membayar menggunakan Bitcoin, target diminta untuk memberitahukan melalui email. Namun email tersebut sudah dibekukan oleh providernya (Posteo) sehingga tidak ada mekanisme untuk memberitahukan bahwa ransom sudah dibayar. Dengan kata lain, tidak bisa mengembalikan berkas-berkas. Solusinya ya hanya pasang kembali (reinstall) sistem operasi Windows.

(Karena sifatnya yang tidak bisa dikembalikan lagi – entah sengaja atau tidak – maka Petya ini dapat dikatakan bukan ransomware, tapi malware yang menghapus disk saja. Sama jahatnya.)

Petya juga menggunakan kelemahan dari SMB v1 yang banyak digunakan pada sistem operasi Microsoft untuk berbagai fungsi, seperti misalnya untuk file sharing. Ini kelemahan sama yang dimanfaatkan oleh ransomware WannaCry. Dikabarkan kelemahan ini diketahui oleh NSA yang kemudian mengembangkan eksploit yang bernama EternalBlue (dan eksploit lainnya). Beberapa malware / ransomware dikembangkan dari eksploitasi ini.

Penyebaran Petya awalnya diberitakan oleh Polisi Ukraina dan terkait dengan software akunting yang harus digunakan oleh perusahaan-perusahaan yang memiliki proyek di pemerintahan Ukraina. (Tentu saja perusahaan pengembang software tersebut menolak tuduhan ini.) Itulah sebabnya ada dugaan lain bahwa ransomware Petya ini merupakan kedok untuk melakukan kekacauan di dunia siber Ukrainan. Cyberwar?

Penyebaran ransomware Petya ini agak terbatas karena mekanisme distribusi yang menggunakan jaringan lokal (tidak seperti lainnya yang menggunakan internet sebagai pencarian target berikutnya). Namun ada juga upaya penyebaran melalui email phishing.

Petya juga memeriksa keberadaan berkas “C:\WINDOWS\perfc.dat” (read-only). Jika ada berkas tersebut, maka mekanisme enkripsi dimatikan. Namun ini tidak membatasi kehidupannya. Jadi ini bukan mekanisme kill switch sebagaimana ada pada ransomware lainnya.

Berbagai software anti-virus sudah dapat mendeteksi ransomware Petya ini. Update program anti virus Anda dan update sistem operasi secara berkala. Tentu saja lakukan backup data yang penting secara berkala.

Penanganan Ransomware WannaCry

Pertama, tidak usah panik. Ini bukan ransomware yang pertama (dan bukan yang terakhir pula).

Beberapa hari yang lalu muncul Ransomware WannaCry (dan variasinya) yang mengancam banyak komputer di dunia. Dikarenakan banyaknya komputer yang terancan, maka tulisan ini dibuat. Urutan penulisan tidak lazim. Biasanya di awal ada pengantar dahulu dan kemudian baru pembahasan. Namun karena yang diutamakan aalah penanganannya, maka bagian tersebut ditampilkan di awal.

Sistem Yang Terkena

Sistem yang terkena oleh Ransomsware WannaCry ini adalah sistem operasi Microsoft Windows (semua). Desktop ataupun notebook, selama menggunakan sistem operasi tersebut, termasuk yang rentan. Lengkapnya dapat dilihat pada bagian “Bahan Bacaan”.

Penanganan

Instruksi singkat untuk menangani ransomware WannaCry adalah sebagai berikut:

  1. melakukan backup;
  2. memperbaiki sistem operasi (OS) Microsoft dengan memasang patch MS17–010;
  3. menonaktifkan SMB (yang biasa digunakan untuk file sharing) jika memungkinkan;
  4. blok port TCP: 139/445 & 3389 dan UDP: 137 & 138, yang digunakan untuk melakukan penyerangan (jika memungkinkan).

Jika komputer sudah terkena maka dapat dilakuan proses pemasangan ulang (reinstall) sistem operasi Windows.

[Update] Ada kelemahan dari versi yang ada, sehingga memungkinkan dibuatkan Decryption Tool. Informasi mengenai decryption tool dapat diperoleh dari link berikut ini.

Ada informasi yang mengatakan bahwa password yang digunakan untuk mengenkripsi adalah “WNcry@2ol7” (tanpa tanda kutip), tetapi hal ini belum dapat kami konfirmasi.

Instruksi (keterangan) yang lebih panjang adalah sebagai berikut.

Ada beberapa hal yang kadang menyulitkan penanganan di atas atau perlu mendapatkan perhatian. Misalnya ada beberapa sistem dan aplikasi yang membutuhkan fitur file sharing atau menggunakan port 139/445. Jika fitur itu dimatikan (disable, block) maka aplikasi atau layanan tersebut dapat tidak berfungsi. Untuk itu pastikan dahulu bahwa penonaktifan dan pemblokiran ini tidak menghambat aplikasi Anda. Hal ini biasanya relevan terhadap server. Untuk komputer / notebook pengguna biasa, biasanya hal ini tidak terlalu masalah.

Ketika melakukan proses backup, sebaiknya komputer tidak terhubung ke internet atau jaringan komputer. Dikhawatirkan ketika backup sedang berlangsung, komputer terinfeksi ransomware tersebut.Yang menyulitkan adalah jika proses backup dilakukan melalui jaringan (misal backup secara online di Dropbox, Google Drive, dan sejenisnya), maka komputer Anda ya harus terhubung dengan jaringan.

Jika tidak ada data yang penting pada komputer tersebut, proses backup dapat diabaikan. (Meski hal ini tidak disarankan.)

Mematikan fitur SMB bergantung kepada versi dari Windows yang digunakan. Link dari Microsoft ini dapat membantu. Singkatnya adalah dengan tidak mencentang pilihan SMB 1.0/CIFS File Sharing Support sebagaimana ditampilkan pada gambar berikut.

smb-share

Penjelasan Yang Lebih Mendalam

Ransomware adalah software yang termasuk kepada kategori malware, malicious software (software yang memiliki itikad jahat). Ransomware biasanya mengubah sistem sehingga pengguna tidak dapat mengakses sistem atau berkas dengan berbagai cara. Salah satu caranya adalah melakukan proses enkripsi dengan kunci tertentu. Berkas aslinya dihapus. Untuk mengembalikan berkas yang sudah terenkripsi tersebut, pengguna harus mendapatkan kunci dari penyerang. Biasanya penyerang meminta bayaran. Itulah sebabnya dia disebut ransomware. Untuk kasus WannaCry ini, permintaan bayarannya bervariasi dari US$300-US$600.

Ada banyak ransomware dan tidak dibahas pada tulisan ini karena akan menjadi sangat panjang.

WannaCry (atau WannaCrypt) menggunakan kerentanan (vulnerability) sistem operasi Windows yang diduga kemudian dieksploitasi oleh NSA (dikenal dengan nama EternalBlue). Tools tersebut ternyata bocor ke publik dan kemudian dikembangkan menjadi basis dari WannaCry ransomware ini.

Penyebaran. Ada dua cara penyebaran; pada tahap awal dan pada tahap setelah ada ransomware yang terpasang.

Umumnya malware (termasuk ransomware ini) pada awalnya menyebar melalui social engineering (tipu-tipu). Ada varian dari ransomware yang menempel pada attachment PDF atau berkas lain yang dikirimkan via email. Penerima diminta untuk mengklik attachment itu. (Itulah sebabnya jangan sembarangan mengklik.) Jika diklik, maka ransomware tersebut akan memasang dirinya di sistem.

Setelah berhasil menginfeksi sistem, maka untuk versi 1, malware ini akan memastikan kill switch tidak aktif. (Akan dibahas selanjutnya.) Jika kill switch ini ada maka malware akan berhenti. Jika kill switch ini tidak ada, maka malware akan melakukan scanning ke jaringan mencari komputer-komputer lain di jaringan yang memiliki kerentanan SMB ini. Setelah itu dia akan melakukan penyerakan dengan membuat paket khusus yang diarahkan ke port-port yang digunakan oleh SMB (139, 445, 3389). Inilah cara penyebarannya melalui jaringan. Penyebaran yang ini seperti worm.

(Itulah sebabnya sebaiknya port-port tersebut diblokir jika tidak dibutuhkan. Jika Anda memiliki perangkat network monitoring, perhatikan apakah ada peningkatan traffic pada port-port tersebut. Jika ada, perhatikan sumber / source IP dari paket-paket tersebut. Boleh jadi komputer tersebut sudah terkena ransomware.)

Kill switch. Ternyata ransomware versi awal ini memiliki fitur kill switch, yaitu sebuah mekanisme untuk menghentikan dirinya sendiri. Jika domain http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com tersedia dan berjalan, maka ransomware ini akan menghentikan dirinya. (Hal ini ditemukan secara tidak sengaja oleh seorang peneliti malware. Dia kemudian mendaftarkan domain tersebut sehingga penyebaran versi awal dari WannaCry ini terhenti secara tidak sengaja. Ceritanya ada di sini.) Namun saat ini sudah ada WannaCry versi 2.0 yang tidak memiliki kill switch ini.

Penutupan Port. Port 139/445 pada sistem Windows digunakan untuk berbagai layanan, salah satunya adalah untuk file sharing / printer sharing. Port ini sudah sering digunakan sebagai bagian dari penyerangan (malware, cracking). Sebaiknya port-port ini ditutup. (Cara penutupannya akan dibahas terpisah. Biasanya terkait dengan layanan file sharing seperti di bahas pada bagian atas.)

Namun jika port ini ditutup, maka ada kemungkinan beberapa layanan yang biasa Anda lakukan (sharing) tidak berfungsi. Jika demikian (port tersebut harus aktif) maka gunakan alternatif perlindungan lain (misal dengan menggunakan firewall) untuk memastikan bahwa port tersebut hanya dapat diakses secara terbatas (oleh komputer yang Anda kenali).

Biasanya kami memang menyarankan untuk memblokir port ini. Sebaiknya port-port ini juga difilter di router jika tidak ada layanan sharing yang menyeberang lintas segmen jaringan. (Umumnya memang konfigurasi standar yang aman seperti ini. Jika tidak, nampaknya Anda harus membenahi keamanan jaringan Anda.)

Lain-lain

Tulisan ini akan diperbaiki secara berkala mengingat perkembangan (perubahan) status dari ransomware ini yang cepat berubah. Silahkan kunjungi untuk mendapatkan perubahan tersebut.

Bahan Bacaan

  1. Microsoft Security Bulletin MS17-010 – Critical: informasi mengenai sistem operasi apa saja yang terkena (hampir semua OS Windows yang masih digunakan saat ini), ketersediaan patch, dan rincian lain untuk memperbaiki.
  2. Untuk sistem yang sudah kadaluwarsa (Windows XP, Vista, Windows 8, Server 2003 dan 2008 Editions), Microsoft mengeluarkan emergency patch yang dapat diambil di sini.
  3. Cara untuk enable/disable SMB: agak sedikit teknis dan rinci.
  4. Decryption Tool: untuk membuka yang sudah terkena
  5. WannaCry|WannaDecrypt0r NSA-Cyberweapon-Powered Ransomware Worm: di github berisi banyak link terkait dengan WannaCry tersebut; terutama informasi teknis singkatnya.

Internet Mengajari Budaya Instan?

Beberapa rekan berdiskusi mengenai efek (negatif) dari internet terhadap kebiasaan manusia. Salah satu yang muncul adalah dugaan bahwa internet mengajari kita untuk tidak sabar dalam membaca. Kalau dahulu kita membaca berita sampai habis. Kalau sekarang orang lebih senang membaca judulnya saja. Atau kalau dibaca tulisannya juga hanya halaman pertama yang dibaca. Jarang ada orang yang mau membaca tulisan yang panjang-panjang. Apakah benar demikian?

Terkait dengan hal ini akhirnya orang tidak mau mendiskusikan hal-hal yang rumit. Padahal ada banyak orang yang merasa telah membahas hal-hal yang penting, tetapi sesungguhnya hanya bagian kulitnya saja. Ketika intinya dibahas – dan tentunya berat, membutuhkan bacaan yang lebih dalam – maka banyak orang yang kemudian menghilang.

Orang juga diajari malas untuk mencari sumber bacaan (berita) sesungguhnya. Mereka ingin disuapi. Padahal sesungguhnya teknologi tersedia. Atau, mungkin justru karena teknologi tersebut maka orang kehilangan skill yang seharusnya simpel.

Hmm…

Akses Internet di Singapura

Baru saja saya kembali dari Singapura. Beberapa hari di Singapura kemarin itu saya kesulitan mengakses internet. Sebetulnya tidak sulit akses internetnya, tetapi … mahal! he he he. Di hotel saya biayanya adalah SGD $17 untuk satu jam (wireless access).

Yang saya maksud susah akses adalah bagi tamu (turis) yang datang ke Singapura, bukan untuk penduduk. Mungkin karena akses internet bagi penduduk sangat mudah (di rumah, asrama, kantor, dan lain-lain) maka mereka tidak merasa penting akses di tempat publik ya?

Setelah saya lihat-lihat ada beberapa alternatif akses internet murah di Singapura. Yang pertama adalah akses wireless dengan menggunalan layanan “Wireless@SG”. Kita dapat mendaftarkan diri untuk layanan ini dengan gratis. Saya lupa dulu daftarnya bagaimana ya? Kalau tidak salah, daftar online terus nanti dia tanya identitas (saya gunakan paspor) dan nomor handphone lokal. Jadi memang modalnya adalah nomor handphone lokal, yang sangat mudah didapat dan memang saya sarankan untuk digunakan (daripada menggunakan nomor handphone Indonesia secara roaming yang pastinya mahal).

Sayangnya akses “Wireless@SG” ini tidak banyak. Dulu katanya mau meliputi seluruh Singapura, tetapi setelah beberapa tahun ini nampaknya tidak banyak bertambah coverage-nya dan bahkan di beberapa tempat tampaknya tidak terawat. Sebagai contoh, ketika saya mencoba mengakses layanan Wireless@SG di Sim Lim Square (tempat jualan alat elektronik) ternyata gatewaynya (?) memiliki sertifikat (SSL?) yang bermasalah sehingga tidak bisa jalan.

Yang kedua, ada beberapa tempat yang menyediakan layanan internet gratis. Airport Changi merupakan salah satunya. Tapi mosok kita harus ke Changi untuk akses internet gratis. he he he.

Berikutnya saya melihat ada beberapa layanan broadband yang relatif “murah” ketimbang akses di hotel. Kemarin saya tanyakan layanan “M1 broadband” adalah $17 untuk 3 hari atau 9 jam. Ini menggunakan 3G (bisa pakai handphone atau dongle yang bisa dihubungkan ke notebook). Sayangnya kemarin saya tahunya sudah pas mau pulang. Jadi percuma 😦 Tahu gitu begitu datang langsung saya apply ini. Sayangnya lagi nomor yang diberikan akan expire setelah 90 hari tidak dipakai. Kan belum tentu saya ke Singapura lagi dalam waktu 90 hari 🙂 Eh, tapi memangnya kenapa kalau expire ya? Beli lagi saja nanti kalau datang lagi ya?

Akses internet melalui handphone pun bisa. Saya kebetulan menggunakan nomor Starhub. Dari handphone langsung saya bisa akses internet. Saya coba akses twitter dan mengubah status. Hasinya, akses yang singkat ini rasanya saya dicharge 30 (atu 50) sen. Saya tidak hitung tepatnya. Lumayan mahal juga. Bayangkan kalau saya buka gmail 🙂 bisa habis pulsa saya. he he he.

Di beberapa hotel (kecil) ada juga akses internet dengan komputer di sana. Biasanya aksesnya adalah $1 untuk 15 menit. Mahal juga.

Warnet juga ada dan ini biasanya cukup murah. Ada yang $2 untuk 1 jam. Bahkan saya pernah pakai yang $1/jam. Biasanya yang pakai di sini adalah tenaga kerja asing (TKW dari Filipina). Jadi rame pas lagi weekend. Kalau hari biasa sih sepi.

Demikian informasi singkat. Mudah-mudahan bermanfaat bagi yang ingin ke Singapore.

Sensor Internet Indonesia?

Duh topik itu lagi … Cape deh …

Apa gak ada topik lain yang lebih menarik? Semisalnya, bagaimana membuat internet lebih menjangkau daerah-daerah di Indonesia, bagaimana agar kualitasnya lebih baik (lebih cepat) dan handal (reliable), bagaimana agar harganya bisa lebih murah, bagaimana agar lebih banyak content yang bagus-bagus, … Ah, topik-topik ini kurang menarik. Setidaknya, kurang populis kali ya?

Internet Untuk Kampung

Bagaimana cara untuk menghubungkan sebuah kampung / desa ke internet?

Demikian pertanyaan yang saya peroleh dari seorang saudara saya. Daripada saya jawab melalui email, saya pikir ada baiknya kalau saya tuliskan di blog saja karena mungkin bisa dimanfaatkan oleh orang lain. Sekalian juga siapa tahu ada yang mau ikut urun rembug juga.

Ada dua komponen utama dari hubungan kampung ke internet. Yang pertama adalah koneksi antar pengguna (rumah) atau koneksi dari pengguna ke sebuah sentral. Ini mungkin dikenal dengan istilah last mile. Koneksi ini berakhir di sebuah gateway (atau router). Bagian kedua adalah yang menghubungkan gateway ini ke internet. Mari kita bahas satu persatu.

Koneksi dari rumah ke gateway merupakan bagian yang sulit. Koneksi ini bisa dilakuan dengan menggunakan kabel jika jaraknya tidak terlalu jauh. Atau jika terlalu jauh, koneksi bisa dilakukan secara berjenjang. Masalah dengan teknologi kabel (wired) ini adalah repot dalam memasang dan merawat. Seringkali kabel putus oleh satu dan lain hal, misalnya kepacul, digerogoti tikus, kena petir, dan seterusnya.

Cara koneksi lain adalah dengan menggunakan wireless. Kita bisa sebuah access point WiFi di sebuah tempat dan dia dapat melayani area sekitar puluhan sampai 100 meter. Hanya saja biasanya jumlah yang bisa dilayani ada batasnya. Solusi ini merupakan yang paling murah. Hanya saja jangkauannya (coverage) cukup terbatas. Untungnya ada teknologi Wimax yang cakupannya lebih luas.

Kalau boleh saya usulkan, solusi WiFi / Wimax inilah yang digunakan untuk last mile di kampung karena lebih mudah implementasi dan perawatannya.

Komponen kedua, hubungan (gateway ke) internet. Bagian ini susah-susah gampangnya. Gampangnya adalah karena dia hanya satu biji, tidak seperti komponen pertama tadi yang jumlahnya banyak (sebanyak pengguna). Susahnya adalah karena dia paling mahal dan kadang tidak tersedia.

Hubungan ke internet dapat dilakukan dengan wired dan wireless juga. Pada prinsipnya kita mencari penyedia jasa yang dapat menghubungkan gateway di kampung kita ke internet. Kalau dahulu, alternatifnya adalah menarik leased line atau (A)DSL ke kampung kita yang bisa jadi mahal karena harus betulan menarik kabel dari sentral telepon. Alternatif lain adalah menggunakan VSAT yang mahal di biaya operasionalnya. Sekarang ada beberapa alternatif tambahan seperti link melalui penyedia jada seluler, 3G, HSDPA, dan sejenisnya.

Masalah utamanya adalah ada atau tidak?

Masalah kedua adalah berapa biayanya? Yang ini nanti akan ditanggung bersama oleh pengguna.

Nah setelah semuanya ada dan bisa tersambung, kita punya masalah baru yaitu pengelolaan (operasional). Yang ini kita bahas di lain kesempatan ya. Sekarang ini yang penting nyambung dulu 🙂