WannaCrypt Ransomware

Virus WannaCrypt Ransomware, atau lebih dikenal dengan virus WannaCry, WannaCrypt0r, atau Wcrypt adalah salah satu jenis malware (software jahat) ransomware yang menyerang pada sistem operasi windows dengan cara mengenkripsi data milik korban dan meminta tebusan uang (via bitcoin) agar data tersebut bisa dibuka kembali. Virus tersebut ditemukan pada tanggal 12 mei 2017 dalam serangan cyber terbesar dan sudah lebih dari 230.000 windows pc di 150 negara hingga saat ini.

WannaCrypt pertama kali meyerangan dan ditemukan pada Pelayanan Kesehatan di Inggris, Perusahaan Telekomunikasi di Spanyol, dan Perusahaan logistik FedEx. Akibatnya pelayanan publik dan perusahaan tersebut mengalami kekacauan, sehingga membuat dari beberapa layanan tersebut harus menutup kegiatan operasional sementara waktu dan beberapa dari layanan tersebut juga menerapkan sistem manual yaitu dengan mencatat dengan pena dan kertas. Hal ini dikarenakan beberapa file atau dokumen mereka terkunci oleh virus ransomware tersebut.

Tidak adanya laporan konfirmasi yang jelas tentang siapa pembuat virus WannaCrypt atau WannaCrypt0r 2.0. tapi yang jelas ransomware ini dahulunya disebut WeCry Ransomware pada bulan februari 2017 dan menuntut 0.1 bitcoin untuk membuka file atau dokumen yang terkunci oleh ransomware tersebut.

Bagaimana cara kerja WannaCrypt Ransomware

Seperti yang kita lihat dari pendahulu virus ransomware sebulumnya mereka menyebar pada sistem komputer korban melalui website, email attachment kemudian menyebar melalui jaringan LAN/WIFI (network share) dengan berusaha mengeksplotasi kerentanan SMB agar dapat menyebar secara acak melalui port TCP pada jaringan yang sama dan mengenkripsi file atau dokumen yang berada pada hard disk korban.

Protokol SMB (Server Block Message) sebenarnya dipakai untuk sharing printer dan file pada windows, karena ditemukannya kerentanan (bug) oleh NSA maka dijadikannya sebagai senjata rahasia (exploit) yang disebut EternalBlue. Exploit ini dicuri dan dibocorkan oleh sebuah kelompok yang disebut Shadow Broker. Sehingga semua orang termasuk attacker dapat menggunakannya.

Ketika ransomware melakukan proses enkripsi pada file anda yang terjadi biasanya, sistem operasi akan mengalokasikan di space baru untuk file yang terenkripsi, setelah proses itu selesai maka malware akan menghapus file asli anda.

Jika storage anda mempunyai free space yang cukup banyak atau volume shadow copy tidak dihapus oleh malware tersebut maka kemungkinan file anda bisa selamat. Akan tetapi sebaliknya jika free space anda cukup kecil dan volume shadow anda terhapus maka data anda tidak dapat di selamatkan.

Ketika serangan ini terjadi ada banyak saran untuk memblok port tertentu contohnya (TCP 139/445/3389 dan UDP 137/138) port-port tersebut memang cocok untuk di blok tapi hanya untuk server publik yang terhubung ke internet. Akan tetapi bagaimana dengan workstation, perlu anda ketahui port 3389 merupakan port untuk mengakses remote desktop, sedangkan port 137/138/139 merupakan port untuk melakukan sharing file, printer, dll. Akibatnya jika port-port tersebut di tutup pada workstation maka proses remote dan sharing tidak dapat dijalankan.

Ada banyak miss information ketika serangan cyber ini terjadi contohnya jika ingin membuka file yang sudah terenkripsi dengan memasukan password WNcry@2ol7. Perlu anda ketahui juga malware WannaCry ini menggunakan enkripsi RSA 2048 bit dan bisa dibilang hampir sangat mustahil untuk difaktorkan

Bagaimana cara agar kita aman dari WannaCry Ransomware

Ada beberapa cara agar kita tetap aman dari malware WannaCry ransomware ini, diantaranya melakukan proses upgrade ke microsoft windows 10, melakukan proses patching MS17-010 akan tetapi anda harus tetap waspada karena banyak attacker disana membinding patching MS17-010 dengan malware WannaCry, dan yang paling terpenting melakukan proses backup offsite. Proses backup disini harus dilakukan secara aman yaitu dengan cara proses backup secara online karena pada proses backup online terdapat fitur incremental. Dimana ketika tidak sengaja mengupload (membackup) file yang sudah terenkripsi maka kita dapat mendeletenya per incremental yang terinfeksi oleh ransomware tersebut.

Perlu anda ketahui Menggunakan sistem operasi selain microsoft windows tidak akan mengurangi risiko terkena malware ini, malware ransomware terdahulu bahkan dapat menginfeksi pada sistem operasi linux dan Mac OS dan malware WannaCry bukanlah ransomware pertama seperti yang kita ketahui sudah banyak varian dari ransomware malware ini. Meskipun segala langkah telah dilakukan untuk menangani malware ini (update windows, blok port, dsb), tapi jika user ceroboh (misalnya membuka attachment yang tidak dikenal), maka mereka tetap bisa kena.

Tidak dapat disangkal, akan ada kemungkinan di waktu mendatang, bagi para pelaku cybercrime menyerang backup files juga untuk itulah ada 2 hal mudah namun sangat penting yang perlu anda lakukan :

1. Always backup your data, regularly
2. Do not pay the ransom

Dengan melihat kemungkinan diserang nya backup files ini, salah satu solusinya adalah dengan memanfaatkan layanan backup on cloud dari Datacomm (CloudCiti Backup as a Service). Karena untuk bisa menyerang backup on cloud diperlukan access credential yang tidak dimiliki oleh ransomware atau malware pada umumnya.

CloudCiti Backup as a Service didukung oleh teknologi unggulan dari Acronis yang memiliki kemampuan mendeteksi dengan pendekatan heuristik. Dengan memanfaatkan pendekatan heuristik inilah, CloudCiti Backup as a Service mampu melakukan self-protection, dimana tidak ada proses lain yang mampu melakukan modifikasi terhadap file backup selain dari system CloudCiti Backup as a Service itu sendiri.

Dengan kombinasi antara Datacomm Cloud dan Acronis, anda akan mendapatkan jaminan keamanan dari serangan ransomware :

1. Backup dan perlindungan secara real-time terhadap serangan ransomware di platform Windows anda.
2. Perlindungan yang dapat berkembang dan menyesuaikan terhadap serangan ransomware yang ada saat ini dan selanjutnya.
3. Kemudahan penggunaan layanan backup yang memiliki kemampuan untuk bekerja secara otomatis.

Untuk informasi lebih lanjut terkait dengan layanan CloudCiti Backup as a Service , silahkan kunjungi website kami atau hubungi representative kami di email sales@datacomm.co.id