Meneliti Mengenai WannaCry

Assalamu’alaikum.

Ini merupakan catatan kecil saya selama beberapa hari kedepan. Menindak lanjuti betapa banyaknya sharing dan berita mengenai Ramsomware WannaCry ini di Indonesia bahkan seluruh dunia. File-file, catatan dan tautan dibawah ini merupakan sumber saya untuk mendapatkan pengetahuan baru mengenai WannaCry. Mulai dari cara kerja, kata-kata asing yang muncul ketika googling mengenai WannCary, Cara pencegahannya hingga cara untuk mengatasinya (jika ada)

Insya Allah akan diupdate jika saya menemukan hal-hal baru.

Lets Start!

Ketika Terkena WannaCry

Laptop salah satu temennya temen di Kampus

#Pencegahan WannaCry

Himbauan Dari Pemerintah Pusat, Kominfo :

Hari Senin, 15 Mei 2017 ( Hari ini ) untuk tidak koneksi ke Internet. Lebih dahulu melakukan backup data.

Melakukan beberapa langkah dibawah ini :

1. Cabut Kabel LAN/Wifi
2. Lakukan Backup Data
3. Update Anti-Virus
4. Update security pada windows anda dengan install Patch MS17–010 yang dikeluarkan oleh microsoct. Lihat : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
5. Jangan mengaktifkan fungsi macros
6. Non aktifkan fungsi SMB v1
7. Block 139/445 & 3389 Ports
8. Ulangi, selalu backup file file penting di komputer anda dan di simpan backupnya ditempat lain

Kata Microsoft :

1. Target adalah Windows XP, Windows 8, and Windows Server 2003.
2. Microsoft sudah melakukan update untuk vulnerability ini sejak maret. Jadi kalau belum auto update. Ya harus deploy ke https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3. Memakai Windows Defender, lalu diupdate Windows Defender karena akan ada update menegnai WannaCry dengan nama Ransom:Win32/WannaCrypt

Kata WeLiveSecurity :

1. Download and Install Anti-malware Software
2. Memakai ESET, karena sejak 12 Mei ESET sudah memperbarui databasenya dan mencantumkan WannaCry ini
3. Update Windows untuk menanggulangi vulnerability
4. Be Intelligent!

Cara Blok Port 139/445 & 3389

download disini , tutorial menggunakan windows 10.

Dari Grup Komunitas :

1. Non aktifkan Macro pd MS Office caranya:
   Untuk MS Excel 2016
   a. Jalankan MS Excel
   b. Klik menu “File” pilih “Options”
   c. Klik “Trust Center”
   d. Klik “Trust Center settings”
   e. Klik “Macro settings”
   f. Check/pilih “Disable all macros without notification”
   g. Klik “OK”
   h. Lakukan hal yg sama pd program MS Office yg lain seperti MS Word, Powerpoint, Access, Outlook.

2. Non aktifkan fitur File Sharing/Samba caranya:

a. Jalankan Control Panel
b. Klik “Programs”
c. Dibawah bagian “Program and Features” klik “Turn Windows features on or off”
d. Setelah muncul jendela baru, cari check list “SMB 1.0/CIFS File Sharing Support” dan hilangkan tanda check-nya
e. Klik “OK”

#How WannaCry Work?

Dapat dari Komunitas (Tanpa Edit) :

Sedikit cerita dari mas yohanes:

Ransomware yang lama banyak bug, dari mulai random generator, salah mode enkripsi, pake satu key buat semua file dsb. Wannacry ini pake key AES berbeda per file. Tiap key dienkrip dengan RSA key (anggap ini X). RSA key X ini digenerate per komputer. Terus X ini dienkrip pake public key RSA (Y, bukan key yang digenerate per komputer, tapi master key yang dimiliki pembuat malware).
Jadi satu2nya cara adalah minta pembuat malware membuka RSA key kita supaya bisa dipakai dekrip AES key, dan dipake dekrip file kita.
Atau alternatif lain NSA bisa factorize private key dari public key ransomwarenya. Kemungkinannya kecil karena keynya besar. Sejauh ini sepertinya keynya aman, nggak bisa pake attack standard seperti Wiener attack.
File korban terenkrip, ga bisa dibuka. Banyak rumah sakit kena, data pasien ga bisa diakses. Banyak perusahaan kena, file ga bisa diakses.
Malwarenya juga teliti menghapus semua bentuk backup lokal (restore point dsb), menyerang semua komputer lokal yang belum dipatch. Kalo backup server pake Windows ya kemungkinan kena semua juga.
Ransomware yang ini penyebaran utamanya via bug di Windows, kalo server perusahaan kena dari luar, bisa masuk. Tapi awalnya dia nyebar via email juga.

Video Bagaimana Proses WannaCry Menginfeksi:

#AwalMula WannaCry

The story started in Spain’s telecom sector and quickly spread from that point, onward and outward. Reports of healthcare related organizations being affected in the UK began to appeared, plus various commercial websites, entire enterprise sites, and just about every type of network in between. People from around the world posted screenshots of the malware from computers in offices, hospitals, and schools — (welivesecuirty)

#Update Link Information WannaCry Decryptor

WannaDecryoptor (Lengkap!)

Daftar Sumber :

https://www.kominfo.go.id/content/detail/9636/siaran-pers-no-55hmkominfo052017-tentang-himbauan-agar-segera-melakukan-tindakan-pencegahan-terhadap-ancaman-malware-khususnya-ransomware-jenis-wannacry/0/siaran_pers

Customer Guidance for WannaCrypt attacks

https://www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/