BREAKING NEWS

Ransomware WannaCry : Mengenal Pola Serangan Dan Solusi Penanganan nya


Ransomware WannaCry

Ransomware WannaCry atau yang di kenal WannaCry adalah worm ransomware yang menyebar dengan cepat melalui sejumlah jaringan komputer pada Mei 2017

Ransomware WannaCry Setelah menginfeksi komputer Windows, Ransomware WannaCry mengenkripsi file pada hard drive PC, membuatnya tidak mungkin diakses oleh pengguna, kemudian menuntut pembayaran tebusan dalam mata uang virtual bernama bitcoin untuk mendekripsi mereka.

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (secureworks. com)

Sejumlah faktor membuat penyebaran awal WannaCry sangat penting hal itu mengenai sejumlah sistem penting dan terkenal, termasuk banyak di Layanan Kesehatan Nasional Inggris.

Ransomware WannaCry mengeksploitasi kerentanan Windows yang diduga pertama kali ditemukan oleh Badan Keamanan Nasional Amerika Serikat berkerjasama dengan perusahaan anti virus  Symantec dan peneliti keamanan lainnya.

Mengenal Pola Penyebaran Ransomware WannaCry

Ransomware WannaCry terdiri dari beberapa komponen. menyebar ke komputer yang terinfeksi dalam bentuk dropper, alikasi tunggal yang mengekstrak komponen beberapamaplikasi lain yang tertanam di dalamnya. 

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (secureworks. com)

Aplikasi yang mengenkripsi dan mendekripsi data

b.wnry - Gambar bitmap digunakan sebagai wallpaper desktop (ditunjukkan pada Gambar 2)
 c.wnry - Konfigurasi yang berisi alamat perintah dan kontrol (C2) Tor, alamat Bitcoin, dan data lainnya 
r.wnry - Teks permintaan tebusan 
s.wnry - arsip ZIP yang berisi perangkat lunak Tor untuk diinstal pada sistem korban; disimpan dalam direktori TaskData 
t.wnry - DLL terenkripsi yang berisi fungsionalitas enkripsi file u.wnry - Modul utama "decryptor" ransomware 
WCry taskdl.exe - Program pembersihan file sementara 
WNCRYT taskse.exe - Program yang menampilkan jendela decryptor ke sesi RDP 
msg - Direktori yang berisi permintaan tebusan Rich Text Format (RTF) dalam berbagai bahasa

Ransomware WannaCry membuat file tambahan selama infeksi:

00000000.pky — Microsoft PUBLICKEYBLOB containing the RSA-2048 public key (The WCry threat actors presumably hold the private key.) 
00000000.res — Data for C2 communication 
00000000.eky — Victim-unique RSA private key encrypted with embedded RSA public key 
00000000.dky — Decrypted RSA private key transmitted to victim after ransom payment 
f.wnry — A list of randomly chosen files encrypted with an embedded RSA private key that allows WCry to “demonstrate” decryption to victims 
@WanaDecryptor@.exe — Main module of the WCry ransomware “decryptor,” identical to u.wnry 
@Please_Read_Me@.txt — Ransom demand text, identical to r.wnry


Ransomware WannaCry menjalankan perintah tunggal berikut (diformat agar terbaca) untuk memperumit pemulihan sistem dan data. Jika malware tidak berjalan dengan hak istimewa yang ditinggikan, WCry menjalankan ini dengan perintah "Run as".

cmd.exe / c vssadmin menghapus bayangan / semua / tenang &

wmic shadowcopy hapus &

bcdedit / setel {default} bootstatuspolicy ignoreallfailures &

bcdedit / set {default} pemulihan tidak diaktifkan &

wbadmin hapus katalog -quiet

Ransomware WannaCry menghentikan beberapa layanan sehingga penyimpanan datanya dapat dienkripsi:

taskkill.exe / f / im mysqld.exe

taskkill.exe / f / im sqlwriter.exe

taskkill.exe / f / im sqlserver.exe

taskkill.exe / f / im MSExchange *

taskkill.exe / f / im Microsoft.Exchange. *

Kode program tidak di enkripsi dan relatif mudah dianalisis oleh profesional keamanan. Setelah diluncurkan, WannaCry mencoba mengakses URL hard-code (yang disebut tombol pemutus), jika tidak bisa, ia melanjutkan untuk mencari dan mengenkripsi file dalam banyak format penting, mulai dari file Microsoft Office hingga MP3 dan MKV, membiarkannya tidak dapat diakses oleh pengguna. 

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (secureworks. com)

Itu kemudian menampilkan pemberitahuan tebusan, menuntut $ 300 dalam Bitcoin untuk mendekripsi file.

Bagaimana Ransomware WannaCry Menginfeksi Komputer?

Vektor serangan untuk WannaCry lebih menarik daripada ransomware itu sendiri. Kerentanan WannaCry terletak pada implementasi Windows dari protokol Server Message Block (SMB). 

Protokol SMB membantu berbagai node di jaringan berkomunikasi, dan implementasi Microsoft dapat diakali dengan paket yang dibuat khusus untuk mengeksekusi kode arbitrer.

Microsoft sendiri telah menemukan kerentanan sebulan sebelumnya dan telah merilis tambalan, tetapi banyak sistem tetap rentan, dan WannaCry, yang menggunakan EternalBlue untuk menginfeksi komputer, mulai menyebar dengan cepat pada 12 Mei. Setelah wabah itu, Microsoft mengecam pemerintah AS karena tidak membagikan pengetahuannya tentang kerentanan lebih awal.

Sekalipun PC telah berhasil terinfeksi, WannaCry belum tentu memulai mengenkripsi file. Itu karena, seperti disebutkan di atas, pertama kali mencoba mengakses alamat website yang telah di siapkan sebelum berfungsi. 

gx7[Sensor].onion

57[Sensor].onion

xx[Sensor].onion

76[Sensor].onion

cw[Sensor].onion

Jika dapat mengakses domain tersebut, WannaCry akan mati sendiri. Tidak sepenuhnya jelas apa tujuan dari fungsi ini. Beberapa peneliti percaya ini seharusnya menjadi sarana bagi pembuat malware untuk menghentikan serangan itu. 

Namun, Marcus Hutchins, peneliti keamanan Inggris yang menemukan bahwa WannaCry mencoba menghubungi beberapa alamat website.

Ini di percaya bahwa dimaksudkan untuk membuat analisis kode lebih sulit. Banyak peneliti akan menjalankan malware di lingkungan "Computer Virtual", di mana URL atau alamat IP mana pun akan tampak dapat dijangkau; dengan melakukan menganalisa kode WannaCry sebagai upaya untuk menghubungi menemukan ramuan pengobatnya.

Solusi Penanganan Ransomware WannaCry

Ironisnya, tambalan yang diperlukan untuk mencegah infeksi WannaCry sebenarnya tersedia sebelum serangan dimulai: Buletin Keamanan Microsoft MS17-010, dirilis pada 14 Maret 2017, 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

memperbarui implementasi Windows dari protokol SMB untuk mencegah infeksi melalui EternalBlue. Namun, terlepas dari kenyataan bahwa Microsoft telah menandai patch tersebut sebagai kritis, banyak sistem masih belum ditambal pada Mei 2017 ketika WannaCry mulai menyebar dengan cepat.

Untuk sistem yang belum ditambal yang terinfeksi, ada sedikit solusi selain memulihkan file dari cadangan yang aman - jadi biarkan itu menjadi pelajaran bahwa Anda harus selalu mencadangkan file Anda. 

Sementara mereka yang memantau dompet bitcoin yang diidentifikasi dalam pesan pemerasan mengatakan bahwa beberapa orang membayar tebusan, ada sedikit bukti bahwa mereka mendapatkan kembali akses ke file mereka.

Metode Penanganan Infeksi Ransomware WannaCry lebih Lanjut

Microsoft Menyerankan Menggunakan Sebuah Software  dengan nama WanaKiwi "mampu" mendekripsi data di tangan perangkat lunak tebusan,dalam laporannya disini

tetapi hanya jika pengguna belum merestart ulang atau mematikan komputer.

Kondisi ini harus berasal dari cara kerja algoritma perangkat lunak yang belum sempurna. Peneliti fokus pada nomor awal yang disimpan dalam memori acak komputer yang menjadi dasar perangkat lunak untuk melakukan proses enkripsi.

Lebih umum dan sederhana, alat mencari angka-angka ini dan memulai proses mendekripsi data terenkripsi terlebih dahulu, oleh karena itu pentingnya persyaratan di atas, selain referensi dari beberapa laporan lain ke kondisi lain adalah tidak melepas perangkat lunak baru setelah infeksi seperti permainan dan aplikasi perkantoran yang dapat merusak urutan Simpan nomor tersebut di memori komputer Anda dengan menggunakan ruang untuk program lain.

Catatan: Alat baru ini berfungsi pada Windows 2008, 7, XP, dan Vista, dan telah terbukti efektif oleh beberapa perusahaan keamanan. Alat lain bernama WanaKey didasarkan pada prinsip yang sama

Link Download : Wanakiwi_0.2.zip atau Wanakiwi.zip

Masuknya virus ke perangkat Anda, yang bergantung pada celah dalam sistem Windows dan celah yang ada di semua jenis Windows adalah fitur terbuka.

Kunci Enkripsi Ransomware WannaCry

Namun file yang terpengaruh dapat dipulihkan dengan menggunakan kunci buka kunci 

7HAR2NTX-YC8APT4B-4H7H62JP-A2QLWNHU-ZWYX5J4J-W29P6M9W-KS3LKAP4-BML5WTS2.

Jadi apa yang dapat Anda lakukan tentang file yang dikunci? Anda mungkin beruntung dan menemukan alat dekripsi online. peneliti keamanan siber lainnya memecahkan kode ransomware dan menawarkan kunci dekripsi online secara gratis. 

Namun, tidak semua jenis ransomware dapat dipecahkan. Dalam kasus WannaCry, ada kunci dekripsi yang tersedia, tetapi mungkin tidak berfungsi untuk semua sistem komputer.

Berikut Video Cara Penanganan Ransomware WannaCry


Cara Mencegah Penularan Ransomware WannaCry

Masuknya virus ke perangkat Anda, yang bergantung pada celah dalam sistem Windows dan celah yang ada di semua jenis Fitur Windows yang terbuka.

Jika Anda tidak mengupdate windows Anda, matikan saja SMP,

Ada dua metode untuk mematikan SMP secara manual atau meggunakan software.

Cara manual Mencegah Penularan Ransomware WannaCry 

Buka Secara Manual

1.Control Panel\Programs\Programs and Features.

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (Microsoft. com)


2. Hapus kotak centang Dukungan Berbagi File SMB1.0 / CIFS.


7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (Microsoft. com)

3. Anda harus merestart komputer Anda.

Selesai! Sekarang kamu aman.

Cara Mencegah Penularan Ransomware WannaCry Mengguanakan Bantuan Sofware

Download Terlebih Dahulu: SMB2 Tools Disable

1.Jalankan Software SMB2 Sebagai Administrator

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (Microsoft. com)

2.Pertama, periksa apakah Fitur dihidupkan!.

ketika Anda menjalankan alat akan menunjukkan ini, jika Anda melihat SMB2 saat ini aktif maka Anda harus menonaktifkannya

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (Microsoft. com)

3. SMB2 IS saat ini dinonaktifkan.

7 Pantai di Indonesia yang Jadi Surga Para Penikmat Lautan
Images Source: (Microsoft. com)

Sekarang Komputer Sahabat NusaPedia Sudah Aman dari penyebaran Ransomware WannaCry

Panduan Pencegahan Ransomware WannaCry agar tetap aman:

Selalu perbarui perangkat lunak Anda

Meskipun Microsoft telah menambal kerentanan EternalBlue, jutaan orang tidak menerapkan pembaruan tersebut. Seandainya mereka memperbarui, WannaCry tidak akan dapat menginfeksi mereka. Jadi, sangat penting untuk selalu memperbarui semua perangkat lunak Anda. 

Penting juga untuk memperbarui perangkat lunak keamanan Anda (meskipun jika Anda menggunakan Avast Free Antivirus, Anda sudah siap - kami memperbarui antivirus kami secara otomatis!).

Hindari membuka email dari pengirim yang tidak dikenal

Ada banyak penipuan di luar sana, dan email tetap menjadi metode pengiriman paling populer bagi penjahat dunia maya. Anda harus berhati-hati dengan email dari pengirim yang tidak dikenal, dan sebaiknya hindari mengklik link apa pun atau mendownload lampiran apa pun kecuali Anda 100% yakin email itu asli.

Waspadai situs web yang terinfeksi

Malvertising, menyembunyikan iklan yang terinfeksi dalam pop-up atau spanduk, sedang menunggu di banyak situs web. Pastikan untuk memverifikasi bahwa situs web aman sebelum Anda menggunakannya, terutama untuk segala jenis belanja atau streaming.

Cadangkan semua data penting secara teratur

Jika Anda telah mencadangkan semua file Anda, ransomware kehilangan kekuatannya: Anda cukup menghapus malware dan kemudian memulihkan sistem Anda ke versi sebelumnya tanpa infeksi. 

Anda harus secara teratur mencadangkan semua dokumen dan file penting sehingga Anda selalu memiliki versi bersih yang dapat Anda gunakan jika dienkripsi. Yang terbaik adalah menyimpan data Anda di cloud dan dengan penyimpanan fisik, untuk berjaga-jaga.

Tips Pencegahan Ransomware WannaCry agar tetap aman

1.hati-hati, JANGAN mengklik link berbahaya di email Anda.

2.Berhati-hatilah saat mengunjungi situs yang tidak aman atau tidak dapat diandalkan.

3.Jangan pernah mengklik link yang tidak Anda percayai pada halaman web atau akses ke Facebook atau aplikasi perpesanan seperti Whatapps dan aplikasi lainnya.

4.Jika Anda menerima pesan dari teman Anda dengan tautan, tanyakan padanya sebelum membuka tautan untuk mengonfirmasi, (mesin yang terinfeksi mengirim pesan acak dengan tautan).

5.Simpan file Anda di-backup secara teratur dan berkala.

6.Berhati-hatilah dengan pesan email penipuan yang menggunakan nama yang mirip dengan layanan populer seperti PayePal, bukan PayPal, atau menggunakan nama layanan populer tanpa koma atau karakter yang berlebihan.

7.Gunakan anti virus dan selalu buat update terakhir.

Pastikan windows Anda memiliki pembaruan terakhir untuk menutup celah.

Gunakan tautan ini untuk mengunduh Patch pembaruan Manual:

Pembaruan MS17-010 untuk Windows 8.1

Opsi pertama adalah untuk sistem 64bit dan opsi lain untuk sistem 32bit

Pembaruan MS17-010 untuk Windows 10

Opsi pertama adalah sistem 32bit dan opsi kedua untuk sistem 64bit

Tautan pembaruan untuk MS17-010 untuk Windows 7 dan Server 2008

Pilih pilihan sistem 64-bit pertama atau opsi 32-bit kedua.

Link Update untuk MS17-010 untuk Windows XP dan Server2003 dan 8

SUMMARY
NAMEWannaCry
ALTERNATIVE NAMESWannaCrypt0r, Wana Decrypt0r
TYPERansomware
VERSIONS.wcry file extension virus.wncry file extension virus
DANGER LEVELHigh. Makes system changes, encrypts files. Malware can damage files without the possibility of decrypting them
RELEASE DATE12 May 2017
RANSOM AMOUNTDemands can go up to hundreds or thousands, but there is no point in paying the ransom because virus developers are not keeping track of transfers and not sending decryption tools to anyone
CRYPTOGRAPHYRSA encryption method
APPENDED FILE EXTENSIONS.wcry, .wncryt, .wncry, can also use different file markers or none at all
RANSOM NOTE@Please_Read_Me@.txt, Please Read Me!.txt 
TARGETED OSMain targets are Windows XP and Windows 7, although newer OS versions could also be affected
DISTRIBUTION METHODSEternalBlue exploit kit and DoublePulsar backdoor and other Windows OS vulnerabilities get used to obtaining access to particular systems and spread WannaCry ransomware further
FILE DECRYPTIONNo decryption tool is currently available, although there are a few alternative methods that could help some victims to recover WannaCry files
MALWARE REMOVALInstall a powerful anti-malware software and perform a full system scan 
SYSTEM FIXAfter you get rid of the infection, Windows might begin crashing or returning errors due to damaged system files. To prevent such disturbances, scan your system with Reimage

Share artikel ke: Facebook Twitter Google+ Linkedin Technorati Digg