LOADING

Type to search

Keamanan Windows

Apa itu WannaCry?

Seminggu ini cukup ramai diberitakan soal ransomware WannaCry. Sederhananya ini salah satu variasi dari jenis malware yang modusnya mengenkripsi file – file penting yang ada di Windows dan untuk memulihkannya antara kita memiliki backup atau menebusnya dengan sejumlah uang (USD 300). Karena itulah disebut ransomware karena data penting kita disandera.

Nama lainnya dari CryptoLocker ini: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY

Jenis file yang diserang dan akan direname menjadi .wcry apabila sukses:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Sejarah WannaCry

Cikal bakal dari WannaCry adalah celah keamanan yang digunakan NSA (National Security Agency) yang merupakan badan keamanan nasional Amerika Serikat untuk menjebol masuk ke komputer target dan melakukan penyadapan informasi. Dan telah dibocorkan oleh grup hacker bernama The Shadow Brokers pada 14 April 2017. Nama dari celah keamanan ini adalah ETERNALBLUE dan alatnya bernama DOUBLE PULSAR.

Celah keamanan ini memanfaatkan implementasi SMB (Server Message Block) di Windows. Dan walaupun Microsoft sudah merilis updatenya lewat Microsoft Security Bulletin MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx tapi karena di Indonesia (atau dunia) pada umumnya update otomatis sistem operasi itu dinonaktifkan, apalagi kalau pakai bajakan.

Kenapa WannaCry sangat ditakuti?

Sudah lama sekali tidak ada virus/malware yang penyebarannya semasif dan secepat ini. Sebabnya adalah perkembangbiakkannya berlangsung lebih agresif melalui celah SMB tadi, secara otomatis. Kalau sebelumnya pengguna harus secara sengaja mengkliknya untuk terinfeksi, maka kali ini cukup 1 komputer saja yang terkena maka seluruh komputer dalam satu jaringan akan beresiko diserang juga.

Intinya karena celah keamanan tadi jadi diakselerasi.

Bonus, mau tahu aktivitas WannaCry? Bisa cek link berikut: https://intel.malwaretech.com/WannaCrypt.html nanti akan muncul setiap infeksi terbarunya seperti gambar diatas.

Menutup celah keamanan WannaCry

Anda bisa mendownload patch untuk update Windows dari link diatas. Atau bisa secara manual cek kode berikut untuk memastikan sudah tertutup:

  • Windows XP
    KB4012598
  • Winodws Vista
    KB4012598
  • Windows 7
    KB4012212
    KB4012215>KB4015549>KB4019264
  • Windows 8.1
    KB4012216>KB4015550>KB4019215
  • Windows 10
    KB4012606>KB4019474
    KB4013198>KB4019473
    KB4013429>KB4019472
  • Server 2008
    KB4012598>KB4018466
  • Server 2008 R2
    KB4012212
    KB4012215>KB4015549>KB4019264
  • Server 2012
    KB4012217>KB4015551>KB4019216
  • Server 2012 R2
    KB4012213
    KB4012216>KB4015550>KB4019215

Mencegah serangan WannaCry

Usaha paling sederhana dan mudah dalam pencegahan Wannacry adalah pastikan Windows anda dan antivirusnya sudah terupdate. Minimal ini yang dilakukan. Selanjutnya kita akan memperkuat keamanan sistemnya:

  1. Matikan SMBv1 pada Windows. Buka registry editor dan cek lokasi ini HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 dan pastikan nilainya 0.
  2. Pada firewall anda blokir port 139, 445 dan 3389. Ini adalah port yang digunakan SMB untuk berkomunikasi.
  3. Pastikan selalu waspada dalam membuka attachment email.

Yang pasti, selalu berhati – hati dalam membuka/mengakses file yang tidak dikenal. Kemudian mutakhirkan versi sistem operasi dan antivirus. Niscaya akan aman.

Tags:

3 Comments

  1. Kris Mei 17, 2017

    Aneh semua negara kena tapi Canada sebesar itu ngga ada sinyal satupun di malwaretech.

    Asalnya ngga perduli, dan tenang2 aja, soalnya semua software asli, windows auto update, antivirus auto update,kaga pernah buka website aneh2, jadi saya pikir ngga mungkin ada celah itu wannacry bisa masuk ke komputer saya. Tapi akhirnya yang buat parno tuh masuk berita di TV, dan ibu2 rempong tukang gossip sekitar rumah saya saja sampai pada ngerumpi ngomongin wannacry. berarti terkenal banget nih ransomware… hahaha.

    Langsung tanya ke Avast, kata mereka tenang aja selama ngga buka link aneh2 dari email atau website jebakan betmen, ngga mungkin kena.

    Nah tadi pagi nih ada kebetulan internet agak error gitu, tiba2 komputer gw doang yang mati, langsung parno lagi, lihatin desktop ngga berkedip, takut berubah jadi merah layarnya. hahaha

    Balas
    1. Chandra Mei 17, 2017

      Padahal ga sesukses jenis ransomware yang lebih dulu mas. Cuma lebih populer saja dibandingkan Cryptolocker. 😀

      Yang pasti pengumuman kominfo dan infograsif antivirus itu ga salah informasinya, tapi bikin yang baca jadi paranoid. Teman saya ada yang baru kemarin baru berani nyalakan laptopnya. Bahkan sempat tanya smartphone Androidnya aman tidak. 😀

    2. sekarangtaudotcom Juni 10, 2017

      hahaha mungkin sudah lelah 😀

Tulis komentar...