Setelah serangan ransomware terbesar dalam sejarah yang telah menginfeksi lebih dari 114.000 sistem Windows di seluruh dunia dalam kurun waktu 24 jam terakhir, kali ini Microsoft melakukan langkah yang tidak biasa untuk melindungi pelanggannya dari serangan WannaCry yang menggunakan OS Windows versi jadul.
Microsoft baru saja merilis update patch keamanan darurat untuk semua versi Windows yang tidak didukung, termasuk Windows XP, Vista, Windows 8, Server 2003 dan 2008 Editions.
Jadi, jika organisasi kamu, untuk beberapa alasan masih menjalankan Windows XP atau Vista, sangat disarankan untuk mendownload dan menerapkan patch sekarang juga.
WannaCrypt, atau juga dikenal sebagai WannaCry, adalah ransomware baru yang mendatangkan malapetaka di seluruh dunia dalam semalam, yang menyebar seperti worm dengan memanfaatkan kerentanan Windows SMB (MS17-010) yang sebelumnya telah diperbaiki oleh Microsoft pada bulan Maret.
Sejumlah besar infeksi yang berhasil dari ransomware WannaCry dengan kecepatan yang menakjubkan menyimpulkan bahwa sejumlah besar pengguna belum memasang patch keamanan yang diluncurkan pada bulan Maret (MS17-010) atau mereka masih menjalankan versi Windows yang tidak didukung dimana Microsoft tidak lagi merilis update keamanan apapun.
Tapi jika kamu menggunakan Windows 10, kamu berada di sisi yang aman. “Kode eksploitasi yang digunakan oleh WannaCrypt dirancang untuk bekerja hanya dengan sistem Windows 7 dan Windows Server 2008 yang unpatched (atau versi OS yang sebelumnya), jadi Windows 10 PC tidak terpengaruh oleh serangan ini,” kata Microsoft.
Setelah terinfeksi, WannaCry membuka komputer dan meminta korban membayar $300 dalam Bitcoin untuk mendapatkan kembali kendali sistem mereka, dan juga ancaman untuk melipatgandakan harga menjadi $600.
Tapi tidak ada jaminan file kamu kembali bahkan setelah membayar uang tebusan.
Bagaimana WannaCry Tersebar?
Infeksi ransomware semacam ini biasanya memanfaatkan social engineering atau email spam sebagai vektor serangan utama, menipu pengguna agar mendownload dan menjalankan lampiran berbahaya.
WannaCry juga memanfaatkan salah satu trik social engineering tersebut, karena periset FoxIT menemukan satu varian dari ransomware yang awalnya didistribusikan melalui email yang berisi tautan atau file PDF dengan payload, yang jika diklik, akan menginstal WannaCry pada sistem yang ditargetkan.
Setelah dijalankan, ransomware WannaCry yang menyebar sendiri tidak segera menginfeksi komputer yang ditargetkan, karena peranti lunak reverse malware menemukan bahwa penyebar pertama kali mencoba menghubungkan domain berikut, yang awalnya tidak terdaftar:
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Jika koneksi ke domain terdaftar yang disebutkan di atas gagal, WannaCry akan mulai menginfeksi sistem dan akan mulai mengenkripsi file.
Tetapi jika koneksi berhasil, penyebar tidak menginfeksi sistem dengan modul ransomware WannaCry.
Seorang peneliti keamanan melakukan hal ini dan mendaftarkan domain yang disebutkan di atas, secara tidak sengaja memicu “kill switch” yang dapat mencegah penyebaran ransomware WannaCry, setidaknya untuk saat ini.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
MalwareTech mendaftarkan domain tersebut dengan hanya mengeluarkan £10, yang membuat logika koneksi berhasil.
“Dengan kata lain, memblokir domain dengan firewall baik di tingkat ISP atau enterprise network akan menyebabkan ransomware terus menyebar dan mengenkripsi file,” Microsoft memperingatkan.
Jika terinfeksi, malware memindai seluruh jaringan internal dan menyebar seperti worm ke semua komputer Windows yang tidak terpakai dengan bantuan kerentanan SMB.
Kerentanan SMB telah diidentifikasi sebagai EternalBlue, kumpulan alat hacking yang diduga dibuat oleh NSA dan kemudian di-dump oleh kelompok hacking yang menamakan dirinya “The Shadow Brokers” lebih dari sebulan yang lalu.
Sejauh ini, Lebih dari 114.000 Infeksi Terdeteksi di 99 Negara
Serangan Ransomware WannaCry telah menjadi infeksi ransomware terbesar dalam sejarah hanya dalam beberapa jam.
- Sebanyak 16 organisasi di Inggris telah terpengaruh oleh serangan yang sedang berlangsung, termasuk National Health Service (NHS), yang terpaksa menolak pasien, membatalkan operasi, dan menjadwal ulang janji karena infeksi malware.
- WannaCry juga menargetkan raksasa telekomunikasi Spanyol, Telefónica yang menginfeksi beberapa komputernya di jaringan internal, namun tidak mempengaruhi klien atau layanannya.
- Korban lainnya dari serangan tersebut termasuk Portugal Telecom dan MegaFon dari Rusia.
- Perusahaan pengiriman FedEx juga menjadi korban.
- Pengguna dari Jepang, Turki, Filipina dan Indonesia juga terpengaruh.
7 Langkah Mudah Melindungi Diri Dari Serangan WannaCry
Saat ini, tidak ada alat dekripsi WannaCry atau solusi lain yang tersedia, sehingga pengguna sangat disarankan untuk mengikuti langkah-langkah pencegahan untuk melindungi diri mereka sendiri.
- Jaga sistem tetap up-to-date: Pertama-tama, jika kamu menggunakan sistem operasi Windows yang didukung, namun versi lama, perbaiki sistem kamu, atau upgrade sistem ke Windows 10.
- Menggunakan OS Windows yang tidak didukung? Jika kamu menggunakan Windows yang tidak didukung, termasuk Windows XP, Vista, Server 2003 atau 2008, terapkan patch darurat yang dikeluarkan oleh Microsoft.
- Aktifkan firewall, dan jika sudah, ubah konfigurasi firewall untuk memblokir akses ke port SMB melalui jaringan atau internet. Protokol beroperasi pada port TCP 137, 139, dan 445, dan di atas port UDP 137 dan 138.
- Nonaktifkan SMB: Ikuti langkah-langkah yang dijelaskan oleh Microsoft untuk menonaktifkan Server Message Block (SMB).
- Jaga agar perangkat lunak antivirus kamu tetap up-to-date: Definisi virus telah diperbarui untuk melindungi dari ancaman terbaru ini.
- Backup file/dokumen penting kamu secara teratur.
- Waspadalah terhadap Phishing: Selalu curiga terhadap dokumen dalam email dan jangan pernah mengeklik tautan di dalam dokumen tersebut kecuali kamu memverifikasi sumbernya.
