Ransomware WannaCry : Mengenal Pola Serangan Dan Solusi Penanganan nya
Ransomware WannaCry atau yang di kenal WannaCry adalah worm ransomware yang menyebar dengan cepat melalui sejumlah jaringan komputer pada Mei 2017
Ransomware WannaCry Setelah menginfeksi komputer Windows, Ransomware WannaCry mengenkripsi file pada hard drive PC, membuatnya tidak mungkin diakses oleh pengguna, kemudian menuntut pembayaran tebusan dalam mata uang virtual bernama bitcoin untuk mendekripsi mereka.
Sejumlah faktor membuat penyebaran awal WannaCry sangat penting hal itu mengenai sejumlah sistem penting dan terkenal, termasuk banyak di Layanan Kesehatan Nasional Inggris.
Ransomware WannaCry mengeksploitasi kerentanan Windows yang diduga pertama kali ditemukan oleh Badan Keamanan Nasional Amerika Serikat berkerjasama dengan perusahaan anti virus Symantec dan peneliti keamanan lainnya.
Mengenal Pola Penyebaran Ransomware WannaCry
Ransomware WannaCry terdiri dari beberapa komponen. menyebar ke komputer yang terinfeksi dalam bentuk dropper, alikasi tunggal yang mengekstrak komponen beberapamaplikasi lain yang tertanam di dalamnya.
Aplikasi yang mengenkripsi dan mendekripsi data
Ransomware WannaCry membuat file tambahan selama infeksi:
Ransomware WannaCry menjalankan perintah tunggal berikut (diformat agar terbaca) untuk memperumit pemulihan sistem dan data. Jika malware tidak berjalan dengan hak istimewa yang ditinggikan, WCry menjalankan ini dengan perintah "Run as".
cmd.exe / c vssadmin menghapus bayangan / semua / tenang &
wmic shadowcopy hapus &
bcdedit / setel {default} bootstatuspolicy ignoreallfailures &
bcdedit / set {default} pemulihan tidak diaktifkan &
wbadmin hapus katalog -quiet
Ransomware WannaCry menghentikan beberapa layanan sehingga penyimpanan datanya dapat dienkripsi:
taskkill.exe / f / im mysqld.exe
taskkill.exe / f / im sqlwriter.exe
taskkill.exe / f / im sqlserver.exe
taskkill.exe / f / im MSExchange *
taskkill.exe / f / im Microsoft.Exchange. *
Kode program tidak di enkripsi dan relatif mudah dianalisis oleh profesional keamanan. Setelah diluncurkan, WannaCry mencoba mengakses URL hard-code (yang disebut tombol pemutus), jika tidak bisa, ia melanjutkan untuk mencari dan mengenkripsi file dalam banyak format penting, mulai dari file Microsoft Office hingga MP3 dan MKV, membiarkannya tidak dapat diakses oleh pengguna.
Itu kemudian menampilkan pemberitahuan tebusan, menuntut $ 300 dalam Bitcoin untuk mendekripsi file.
Bagaimana Ransomware WannaCry Menginfeksi Komputer?
Vektor serangan untuk WannaCry lebih menarik daripada ransomware itu sendiri. Kerentanan WannaCry terletak pada implementasi Windows dari protokol Server Message Block (SMB).
Protokol SMB membantu berbagai node di jaringan berkomunikasi, dan implementasi Microsoft dapat diakali dengan paket yang dibuat khusus untuk mengeksekusi kode arbitrer.
Microsoft sendiri telah menemukan kerentanan sebulan sebelumnya dan telah merilis tambalan, tetapi banyak sistem tetap rentan, dan WannaCry, yang menggunakan EternalBlue untuk menginfeksi komputer, mulai menyebar dengan cepat pada 12 Mei. Setelah wabah itu, Microsoft mengecam pemerintah AS karena tidak membagikan pengetahuannya tentang kerentanan lebih awal.
Sekalipun PC telah berhasil terinfeksi, WannaCry belum tentu memulai mengenkripsi file. Itu karena, seperti disebutkan di atas, pertama kali mencoba mengakses alamat website yang telah di siapkan sebelum berfungsi.
gx7[Sensor].onion
57[Sensor].onion
xx[Sensor].onion
76[Sensor].onion
cw[Sensor].onion
Jika dapat mengakses domain tersebut, WannaCry akan mati sendiri. Tidak sepenuhnya jelas apa tujuan dari fungsi ini. Beberapa peneliti percaya ini seharusnya menjadi sarana bagi pembuat malware untuk menghentikan serangan itu.
Namun, Marcus Hutchins, peneliti keamanan Inggris yang menemukan bahwa WannaCry mencoba menghubungi beberapa alamat website.
Ini di percaya bahwa dimaksudkan untuk membuat analisis kode lebih sulit. Banyak peneliti akan menjalankan malware di lingkungan "Computer Virtual", di mana URL atau alamat IP mana pun akan tampak dapat dijangkau; dengan melakukan menganalisa kode WannaCry sebagai upaya untuk menghubungi menemukan ramuan pengobatnya.
Solusi Penanganan Ransomware WannaCry
Ironisnya, tambalan yang diperlukan untuk mencegah infeksi WannaCry sebenarnya tersedia sebelum serangan dimulai: Buletin Keamanan Microsoft MS17-010, dirilis pada 14 Maret 2017,
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
memperbarui implementasi Windows dari protokol SMB untuk mencegah infeksi melalui EternalBlue. Namun, terlepas dari kenyataan bahwa Microsoft telah menandai patch tersebut sebagai kritis, banyak sistem masih belum ditambal pada Mei 2017 ketika WannaCry mulai menyebar dengan cepat.
Untuk sistem yang belum ditambal yang terinfeksi, ada sedikit solusi selain memulihkan file dari cadangan yang aman - jadi biarkan itu menjadi pelajaran bahwa Anda harus selalu mencadangkan file Anda.
Sementara mereka yang memantau dompet bitcoin yang diidentifikasi dalam pesan pemerasan mengatakan bahwa beberapa orang membayar tebusan, ada sedikit bukti bahwa mereka mendapatkan kembali akses ke file mereka.
Metode Penanganan Infeksi Ransomware WannaCry lebih Lanjut
Microsoft Menyerankan Menggunakan Sebuah Software dengan nama WanaKiwi "mampu" mendekripsi data di tangan perangkat lunak tebusan,dalam laporannya disini
tetapi hanya jika pengguna belum merestart ulang atau mematikan komputer.
Kondisi ini harus berasal dari cara kerja algoritma perangkat lunak yang belum sempurna. Peneliti fokus pada nomor awal yang disimpan dalam memori acak komputer yang menjadi dasar perangkat lunak untuk melakukan proses enkripsi.
Lebih umum dan sederhana, alat mencari angka-angka ini dan memulai proses mendekripsi data terenkripsi terlebih dahulu, oleh karena itu pentingnya persyaratan di atas, selain referensi dari beberapa laporan lain ke kondisi lain adalah tidak melepas perangkat lunak baru setelah infeksi seperti permainan dan aplikasi perkantoran yang dapat merusak urutan Simpan nomor tersebut di memori komputer Anda dengan menggunakan ruang untuk program lain.
Catatan: Alat baru ini berfungsi pada Windows 2008, 7, XP, dan Vista, dan telah terbukti efektif oleh beberapa perusahaan keamanan. Alat lain bernama WanaKey didasarkan pada prinsip yang sama
Link Download : Wanakiwi_0.2.zip atau Wanakiwi.zip
Masuknya virus ke perangkat Anda, yang bergantung pada celah dalam sistem Windows dan celah yang ada di semua jenis Windows adalah fitur terbuka.
Kunci Enkripsi Ransomware WannaCry
Namun file yang terpengaruh dapat dipulihkan dengan menggunakan kunci buka kunci
7HAR2NTX-YC8APT4B-4H7H62JP-A2QLWNHU-ZWYX5J4J-W29P6M9W-KS3LKAP4-BML5WTS2.
Jadi apa yang dapat Anda lakukan tentang file yang dikunci? Anda mungkin beruntung dan menemukan alat dekripsi online. peneliti keamanan siber lainnya memecahkan kode ransomware dan menawarkan kunci dekripsi online secara gratis.
Namun, tidak semua jenis ransomware dapat dipecahkan. Dalam kasus WannaCry, ada kunci dekripsi yang tersedia, tetapi mungkin tidak berfungsi untuk semua sistem komputer.
Berikut Video Cara Penanganan Ransomware WannaCry
Cara Mencegah Penularan Ransomware WannaCry
3. Anda harus merestart komputer Anda.
Selesai! Sekarang kamu aman.
2.Pertama, periksa apakah Fitur dihidupkan!.
ketika Anda menjalankan alat akan menunjukkan ini, jika Anda melihat SMB2 saat ini aktif maka Anda harus menonaktifkannya
3. SMB2 IS saat ini dinonaktifkan.
Sekarang Komputer Sahabat NusaPedia Sudah Aman dari penyebaran Ransomware WannaCry
Panduan Pencegahan Ransomware WannaCry agar tetap aman:
Selalu perbarui perangkat lunak Anda
Meskipun Microsoft telah menambal kerentanan EternalBlue, jutaan orang tidak menerapkan pembaruan tersebut. Seandainya mereka memperbarui, WannaCry tidak akan dapat menginfeksi mereka. Jadi, sangat penting untuk selalu memperbarui semua perangkat lunak Anda.
Penting juga untuk memperbarui perangkat lunak keamanan Anda (meskipun jika Anda menggunakan Avast Free Antivirus, Anda sudah siap - kami memperbarui antivirus kami secara otomatis!).
Hindari membuka email dari pengirim yang tidak dikenal
Ada banyak penipuan di luar sana, dan email tetap menjadi metode pengiriman paling populer bagi penjahat dunia maya. Anda harus berhati-hati dengan email dari pengirim yang tidak dikenal, dan sebaiknya hindari mengklik link apa pun atau mendownload lampiran apa pun kecuali Anda 100% yakin email itu asli.
Waspadai situs web yang terinfeksi
Malvertising, menyembunyikan iklan yang terinfeksi dalam pop-up atau spanduk, sedang menunggu di banyak situs web. Pastikan untuk memverifikasi bahwa situs web aman sebelum Anda menggunakannya, terutama untuk segala jenis belanja atau streaming.
Cadangkan semua data penting secara teratur
Jika Anda telah mencadangkan semua file Anda, ransomware kehilangan kekuatannya: Anda cukup menghapus malware dan kemudian memulihkan sistem Anda ke versi sebelumnya tanpa infeksi.
Anda harus secara teratur mencadangkan semua dokumen dan file penting sehingga Anda selalu memiliki versi bersih yang dapat Anda gunakan jika dienkripsi. Yang terbaik adalah menyimpan data Anda di cloud dan dengan penyimpanan fisik, untuk berjaga-jaga.
Tips Pencegahan Ransomware WannaCry agar tetap aman
1.hati-hati, JANGAN mengklik link berbahaya di email Anda.
2.Berhati-hatilah saat mengunjungi situs yang tidak aman atau tidak dapat diandalkan.
3.Jangan pernah mengklik link yang tidak Anda percayai pada halaman web atau akses ke Facebook atau aplikasi perpesanan seperti Whatapps dan aplikasi lainnya.
4.Jika Anda menerima pesan dari teman Anda dengan tautan, tanyakan padanya sebelum membuka tautan untuk mengonfirmasi, (mesin yang terinfeksi mengirim pesan acak dengan tautan).
5.Simpan file Anda di-backup secara teratur dan berkala.
6.Berhati-hatilah dengan pesan email penipuan yang menggunakan nama yang mirip dengan layanan populer seperti PayePal, bukan PayPal, atau menggunakan nama layanan populer tanpa koma atau karakter yang berlebihan.
7.Gunakan anti virus dan selalu buat update terakhir.
Pastikan windows Anda memiliki pembaruan terakhir untuk menutup celah.
Gunakan tautan ini untuk mengunduh Patch pembaruan Manual:
Pembaruan MS17-010 untuk Windows 8.1
Opsi pertama adalah untuk sistem 64bit dan opsi lain untuk sistem 32bit
Pembaruan MS17-010 untuk Windows 10
Opsi pertama adalah sistem 32bit dan opsi kedua untuk sistem 64bit
Tautan pembaruan untuk MS17-010 untuk Windows 7 dan Server 2008
Pilih pilihan sistem 64-bit pertama atau opsi 32-bit kedua.
Link Update untuk MS17-010 untuk Windows XP dan Server2003 dan 8
SUMMARY | |
---|---|
NAME | WannaCry |
ALTERNATIVE NAMES | WannaCrypt0r, Wana Decrypt0r |
TYPE | Ransomware |
VERSIONS | .wcry file extension virus; .wncry file extension virus |
DANGER LEVEL | High. Makes system changes, encrypts files. Malware can damage files without the possibility of decrypting them |
RELEASE DATE | 12 May 2017 |
RANSOM AMOUNT | Demands can go up to hundreds or thousands, but there is no point in paying the ransom because virus developers are not keeping track of transfers and not sending decryption tools to anyone |
CRYPTOGRAPHY | RSA encryption method |
APPENDED FILE EXTENSIONS | .wcry, .wncryt, .wncry, can also use different file markers or none at all |
RANSOM NOTE | @Please_Read_Me@.txt, Please Read Me!.txt |
TARGETED OS | Main targets are Windows XP and Windows 7, although newer OS versions could also be affected |
DISTRIBUTION METHODS | EternalBlue exploit kit and DoublePulsar backdoor and other Windows OS vulnerabilities get used to obtaining access to particular systems and spread WannaCry ransomware further |
FILE DECRYPTION | No decryption tool is currently available, although there are a few alternative methods that could help some victims to recover WannaCry files |
MALWARE REMOVAL | Install a powerful anti-malware software and perform a full system scan |
SYSTEM FIX | After you get rid of the infection, Windows might begin crashing or returning errors due to damaged system files. To prevent such disturbances, scan your system with Reimage |