Apa itu WannaCry?

Seminggu ini cukup ramai diberitakan soal ransomware WannaCry. Sederhananya ini salah satu variasi dari jenis malware yang modusnya mengenkripsi file – file penting yang ada di Windows dan untuk memulihkannya antara kita memiliki backup atau menebusnya dengan sejumlah uang (USD 300). Karena itulah disebut ransomware karena data penting kita disandera.

Nama lainnya dari CryptoLocker ini: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY

Jenis file yang diserang dan akan direname menjadi .wcry apabila sukses:

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Sejarah WannaCry

Cikal bakal dari WannaCry adalah celah keamanan yang digunakan NSA (National Security Agency) yang merupakan badan keamanan nasional Amerika Serikat untuk menjebol masuk ke komputer target dan melakukan penyadapan informasi. Dan telah dibocorkan oleh grup hacker bernama The Shadow Brokers pada 14 April 2017. Nama dari celah keamanan ini adalah ETERNALBLUE dan alatnya bernama DOUBLE PULSAR.

Celah keamanan ini memanfaatkan implementasi SMB (Server Message Block) di Windows. Dan walaupun Microsoft sudah merilis updatenya lewat Microsoft Security Bulletin MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx tapi karena di Indonesia (atau dunia) pada umumnya update otomatis sistem operasi itu dinonaktifkan, apalagi kalau pakai bajakan.

Kenapa WannaCry sangat ditakuti?

Sudah lama sekali tidak ada virus/malware yang penyebarannya semasif dan secepat ini. Sebabnya adalah perkembangbiakkannya berlangsung lebih agresif melalui celah SMB tadi, secara otomatis. Kalau sebelumnya pengguna harus secara sengaja mengkliknya untuk terinfeksi, maka kali ini cukup 1 komputer saja yang terkena maka seluruh komputer dalam satu jaringan akan beresiko diserang juga.

Intinya karena celah keamanan tadi jadi diakselerasi.

Bonus, mau tahu aktivitas WannaCry? Bisa cek link berikut: https://intel.malwaretech.com/WannaCrypt.html nanti akan muncul setiap infeksi terbarunya seperti gambar diatas.

Menutup celah keamanan WannaCry

Anda bisa mendownload patch untuk update Windows dari link diatas. Atau bisa secara manual cek kode berikut untuk memastikan sudah tertutup:

  • Windows XP
    KB4012598
  • Winodws Vista
    KB4012598
  • Windows 7
    KB4012212
    KB4012215>KB4015549>KB4019264
  • Windows 8.1
    KB4012216>KB4015550>KB4019215
  • Windows 10
    KB4012606>KB4019474
    KB4013198>KB4019473
    KB4013429>KB4019472
  • Server 2008
    KB4012598>KB4018466
  • Server 2008 R2
    KB4012212
    KB4012215>KB4015549>KB4019264
  • Server 2012
    KB4012217>KB4015551>KB4019216
  • Server 2012 R2
    KB4012213
    KB4012216>KB4015550>KB4019215

Mencegah serangan WannaCry

Usaha paling sederhana dan mudah dalam pencegahan Wannacry adalah pastikan Windows anda dan antivirusnya sudah terupdate. Minimal ini yang dilakukan. Selanjutnya kita akan memperkuat keamanan sistemnya:

  1. Matikan SMBv1 pada Windows. Buka registry editor dan cek lokasi ini HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 dan pastikan nilainya 0.
  2. Pada firewall anda blokir port 139, 445 dan 3389. Ini adalah port yang digunakan SMB untuk berkomunikasi.
  3. Pastikan selalu waspada dalam membuka attachment email.

Yang pasti, selalu berhati – hati dalam membuka/mengakses file yang tidak dikenal. Kemudian mutakhirkan versi sistem operasi dan antivirus. Niscaya akan aman.

Comments (2)

  1. Kris Mei 17, 2017
    • Chandra Mei 17, 2017

Leave a Reply