WannaCry (atau WannaCrypt, WanaCrypt0r 2.0), adalah program ransomware yang menargetkan Microsoft Windows. Pada hari Jumat, 12 Mei 2017, sebuah serangan cyber besar yang menggunakannya diluncurkan, menginfeksi lebih dari 230.000 komputer di 150 negara, menuntut pembayaran tebusan dalam bitcoin kriptokokus dalam 28 bahasa. Serangan menyebar dengan beberapa metode, termasuk email phishing dan sistem yang tidak dipasangkan sebagai worm komputer. Serangan tersebut telah digambarkan oleh Europol sebagai skala yang belum pernah terjadi sebelumnya.
Serangan tersebut mempengaruhi Telefónica dan beberapa perusahaan besar lainnya di Spanyol, serta bagian dari National Health Service (NHS) Inggris, FedEx, Deutsche Bahn dan LATAM Airlines. Target lain di setidaknya 99 negara juga dilaporkan telah diserang pada waktu yang bersamaan.
WannaCry diyakini menggunakan eksploitasi EternalBlue, yang dikembangkan oleh Badan Keamanan Nasional A.S. (NSA) untuk menyerang komputer yang menjalankan sistem operasi Microsoft Windows. Meskipun patch untuk menghapus kerentanan yang mendasarinya untuk sistem yang didukung (Windows Vista dan sistem operasi yang lebih baru) telah dikeluarkan pada tanggal 14 Maret 2017, penundaan dalam menerapkan pembaruan keamanan dan kurangnya dukungan dari Microsoft untuk versi warisan Windows membuat banyak pengguna rentan.
Ransomeware menyebar dan menular dengan teknik phising yang akan menyerang bila korban mengklik sebuah tautan yang mendownload ransomware. Cara kerjanya yaitu dengan mengunci semua data yang ada di sistem komputer dan menyisakan hanya 2 file, instruksi selanjutnya untuk mendekrip ada di program wanna decriptor sendiri. Celah keamananya Eternal Blue adalah hasil exploitasiNSA yang dibocorkan hacker shadow broker, ysng menginfeksi lewat eksekusi remote code SMBv1 di windows XP hingga windows Server 2012.
Saat ini malware ini sudah menyebar hampir ke semua negara :
Cara pencegahan dari website Kominfo :
Lakukan beberapa langkah berikut untuk tindakan pencegahan dari terinfeksi malware ransomare jenis wannacry,
- Cabut Kabel LAN/Wifi
- Lakukan Backup Data
- Update Anti-Virus
- Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoct. Lihat : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Jangan mengaktifkan fungsi macros
- Non aktifkan fungsi SMB v1
- Block 139/445 & 3389 Ports
- Ulangi, selalu backup file file penting di komputer anda dan di simpan backupnya ditempat lain
Langkah detailnya bisa diikuti petunjuk berikut ini :
1. Putus koneksi ke internet.
Cabut konektor kabel jaringan atau nonaktifkan wifi. Bisa juga matikan router wifi.
2. Non aktifkan Macro pd MS Office caranya:
Untuk MS Excel 2016
a. Jalankan MS Excel
b. Klik menu "File" pilih "Options"
c. Klik "Trust Center"
d. Klik "Trust Center settings"
e. Klik "Macro settings"
f. Check/pilih "Disable all macros without notification"
g. Klik "OK"
h. Lakukan hal yg sama pd program MS Office yg lain seperti MS Word, Powerpoint, Access, Outlook.
3. Non aktifkan fitur File Sharing/Samba caranya:
a. Jalankan Control Panel
b. Klik "Programs"
c. Dibawah bagian "Program and Features" klik "Turn Windows features on or off"
d. Setelah muncul jendela baru, cari check list "SMB 1.0/CIFS File Sharing Support" dan hilangkan tanda check-nya
e. Klik "OK"
4. Block port 139/445 dan 3389 caranya:
a. Jalankan Control Panel
b. Klik "System and Security"
c. Klik "Windows Firewall"
d. Klik "Advanced Settings" pd menu bagian kiri
e. Klik "Inbound Rules"
f. Lihat pada menu bagian kanan Klik "New Rules"
g. Pilih/Klik "Port" dan klik "Next"
h. Pilih/Klik "TCP"
i. Pilih/Klik "Specific local ports:" isikan/ketik: 139, 445, 3389
j. Klik "Next"
k. Pilih/Klik "Block the connection" dan klik "Next"
l. Pastikan Pilihan "Domain", "Private" dan "Public" terpilih (checked)
m. Klik "Next"
n. Isikan/ketik nama rule, misal: Block Port Ransomware
o. Klik "Finish"
5. Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoft.
Lebih jelasnya Lihat : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Tindakan Setelah Infeksi :
Saat ini belum ada solusi yang paling cepat dan jitu untuk mengembalikan file file yang sudah terinfeksi wannacry. Akan tetapi memutuskan sambungan internet dari komputer yang terinfeksi akan menghentikan penyebaran wannacry ke komputer lain yang rentan vulnerable.
Sebagai tambahan yang sangat penting, ID-SIRTII menghimbau agar pada hari Senin besok dan kantor akan buka, mohon diwaspadai ancaman ini dan melakukan hal-hal sebagai berikut :
Agar PC-PC dan bentuk Komputer Personal dan Jaringan lainnya jangan terhubung ke LAN dan Internet dulu,
Terlebih dahulu lakukan backup data penting,
Pastikan software anti virus sudah update serta security patch yang disarankan oleh microsoft dilakukan terlebih dahulu.
