Sunday, February 17, 2019

Apa Itu Wannacry?

Seminggu ini cukup ramai diberitakan soal ransomware WannaCry. Sederhananya ini salah satu variasi dari jenis malware yang modusnya mengenkripsi file – file penting yang ada di Windows dan untuk memulihkannya antara kita mempunyai backup atau menebusnya dengan sejumlah uang (USD 300). Karena itulah disebut ransomware sebab data penting kita disandera.


Nama lainnya dari CryptoLocker ini: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY


Seminggu ini cukup ramai diberitakan soal ransomware WannaCry Apa itu WannaCry?


Jenis file yang diserang dan akan direname menjadi .wcry apabila sukses:


.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .j4va, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.


Sejarah WannaCry


Cikal bakal dari WannaCry yaitu celah keamanan yang dipakai NSA (National Security Agency) yang merupakan tubuh keamanan nasional Amerika Serikat untuk menjebol masuk ke komputer sasaran dan melaksanakan penyadapan informasi. Dan telah dibocorkan oleh grup h4ck3r berjulukan The Shadow Brokers pada 14 April 2017. Nama dari celah keamanan ini yaitu ETERNALBLUE dan alatnya berjulukan DOUBLE PULSAR.


Celah keamanan ini memanfaatkan implementasi SMB (Server Message Block) di Windows. Dan walaupun Microsoft sudah merilis updatenya lewat Microsoft Security Bulletin MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx tapi sebab di Indonesia (atau dunia) pada umumnya update otomatis sistem operasi itu dinonaktifkan, apalagi jika pakai bajakan.


Kenapa WannaCry sangat ditakuti?


Sudah usang sekali tidak ada virus/malware yang penyebarannya semasif dan secepat ini. Sebabnya yaitu perkembangbiakkannya berlangsung lebih berangasan melalui celah SMB tadi, secara otomatis. Kalau sebelumnya pengguna harus secara sengaja mengkliknya untuk terinfeksi, maka kali ini cukup 1 komputer saja yang terkena maka seluruh komputer dalam satu jaringan akan beresiko diserang juga.


Intinya sebab celah keamanan tadi jadi diakselerasi.


Bonus, mau tahu acara WannaCry? Bisa cek link berikut: https://intel.malwaretech.com/WannaCrypt.html nanti akan muncul setiap bisul terbarunya menyerupai gambar diatas.


Menutup celah keamanan WannaCry


Anda dapat mend0wnl0ad patch untuk update Windows dari link diatas. Atau dapat secara manual cek instruksi berikut untuk memastikan sudah tertutup:



  • Windows XP

    KB4012598

  • Winodws Vista

    KB4012598

  • Windows 7

    KB4012212

    KB4012215>KB4015549>KB4019264

  • Windows 8.1

    KB4012216>KB4015550>KB4019215

  • Windows 10

    KB4012606>KB4019474

    KB4013198>KB4019473

    KB4013429>KB4019472

  • Server 2008

    KB4012598>KB4018466

  • Server 2008 R2

    KB4012212

    KB4012215>KB4015549>KB4019264

  • Server 2012

    KB4012217>KB4015551>KB4019216

  • Server 2012 R2

    KB4012213

    KB4012216>KB4015550>KB4019215


Mencegah serangan WannaCry


Usaha paling sederhana dan gampang dalam pencegahan Wannacry yaitu pastikan Windows anda dan antivirusnya sudah terupdate. Minimal ini yang dilakukan. Selanjutnya kita akan memperkuat keamanan sistemnya:



  1. Matikan SMBv1 pada Windows. Buka registry editor dan cek lokasi ini HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 dan pastikan nilainya 0.

  2. Pada firewall anda blokir port 139, 445 dan 3389. Ini yaitu port yang dipakai SMB untuk berkomunikasi.

  3. Pastikan selalu waspada dalam membuka attachment email.


Yang pasti, selalu berhati – hati dalam membuka/mengakses file yang tidak dikenal. Kemudian mutakhirkan versi sistem operasi dan antivirus. Niscaya akan aman.



Sumber gurupintar.com