Dilarang menyalakan komputer virus WannaCry sudah menyerang 100 negara dan bisa menular lewat browser nggak cuma Windows XP saja, berikut cara mencegahnya .

Penulis hari ini dengar dari teman kantor bahwa hari senin ini dilarang menyalakan komputer atau browsing lewat komputer.

Peringatannya sebagai berikut:
Besok Jangan Langsung Nyalakan Komputer di Kantor, Kalau Tak Ingin PC Anda Terinveksi Virus

Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangarepan menyatakan kekhawatiran bahwa sistem komputer di institusi-institusi lain di Indonesia bisa terjangkit ransomware WannaCry tanpa disadari.

Ini mengingatkan penulis soal website korlantas yang ke hack dan saat iklan di komputer penulis jadi porno semua:

• Website korlantas.polri.go.id kena hijack penyebar virus trojan yang bisa mencuri data atau mengambil alih komputer
• Google Chrome ternyata bisa kena hijack extensionnya padahal sudah install antivirus

Sampai sekarang website korlantas masih ketularan:

 

Serangan virus wannacry dikatakan menggunakan kelemahan sistem di Windows yang sebenarnya sudah di keluarkan patchnya oleh Microsoft, walau banyak yang bilang yang beresiko ketularan itu windows XP, tapi di list tersebut ada juga windows baru termasuk windows 10:
Microsoft Security Bulletin MS17-010 – Critical
Disitu disebutkan patch berlaku untuk:

• Windows Vista
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows 10
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012 and Windows Server 2012 R2
• Windows Server 2016

Ada juga patch untuk windows XP:
Customer Guidance for WannaCrypt attacks

Harus diingat bahwa patch tersebut hanya untuk memperbaiki keamanan komunikasi file sharing saja, dan tidak menghilangkan resiko ketularan virus saat browsing. Jadi jangan merasa aman dari resiko ketularan virus walau sudah install patch tersebut.

 

Katanya virus sudah menyerang 100 negara:
Serangan siber global ‘bisa terjadi lagi hari Senin’

Pada Jumat (13/05), virus itu telah menyebar ke 100 negara, termasuk Indonesia, Spanyol, Prancis, dan Rusia. Di Indonesia, serangan peretas itu ditujukan ke Rumah Sakit Harapan Kita dan Rumah Sakit Dharmais di Jakarta. Di Inggris, 48 rumah sakit dan klinik yang merupakan bagian dari Layanan Kesehatan Nasional menjadi target. Akibatnya, beberapa rumah sakit terpaksa membatalkan tindakan medis dan sejumlah ambulans dialihkan ke rumah sakit yang tidak terdampak virus Wannacry.

Serangan yang dilakukan:
Bikin Nangis! Virus “Wanna Decryptor” (WannaCry) Jenis ‘RansomWare’ Serang Ratusan Negara Termasuk Indonesia, Puluhan Komputer Terkunci Sandi Rahasia!

RansomWare WannaCry ini akan mengunci dokumen dengan algoritma enkripsi khusus. Setiap dokumen yang terkunci oleh peranti lunak ini hanya bisa diakses jika memasukkan kode unik untuk membuka enkripsinya. Hal ini diikuti oleh permintaan tebusan sebesar 300 hingga 600 dolar AS dan hanya memakai Bitcoin (mata uang di internet).

“Agar semua file yang terkena virus dan telah terenkripsi dapat kembali normal dengan mendekripsikannya, maka tebusan harus dilakukan oleh pihak korban. Waktu pembayaran tebusan hanya 3 hari saja. Jika lewat dari itu maka pembayaran akan dilipatgandakan. Setelah lewat dari 7 hari, dan pembayaran belum dilakukan, maka Anda tidak bisa lagi mengembalikan file-file Anda menjadi normal.”

Analisa cara kerja:
The worm that spreads WanaCrypt0r
WannaCry ransomware used in widespread attacks all over the world

Penjelasan mengapa ini bisa terjadi:
Indonesia diserang ‘teroris siber’, pemerintah meminta masyarakat tenang

Beberapa ahli mengatakan serangan tersebut kemungkinan dilakukan untuk mengeksploitasi kelemahan sistem Microsoft yang telah diidentifikasi oleh NSA dan diberi nama EternalBlue. Alat peretas milik NSA kemudian dicuri oleh sekelompok hacker yang menyebut dirinya sebagai The Shadow Brokers, yang kemudian mencoba menjualnya dalam lelang online.

Katanya virus akan membuat service yang namanya “Microsoft Security Center (2.0)”, tapi lokasi filenya tidak di directory windows tapi di directory users, sesuatu yang nggak normal:
Massive WannaCry/Wcry Ransomware Attack Hits Various Countries

Ada juga yang lewat windows autorun, ini bisa dilihat lewat regedit.exe:
Home Threat Encyclopedia Malware RANSOM_WANA.A

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{random} = “%ProgramData%\{random}\tasksche.exe”

Jadi bisa di cek apakah ada virus di kedua tempat tersebut. Mengecek service bisa pakai service.msc atau lewat registry berikut lalu di search nama programnya

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]

Semoga yang lain bisa bantu sumbang cara yang efektif menemukan virus.

 

Untuk mencegah penularan, kalau komputer kantor pakai windows, maka pastikan up to date patchnya. Kalau kurang yakin install patch di link microsoft diatas.

Namun ingat bahwa virus ini juga bisa menular lewat browser juga. Saat browsing matikan javascript sehingga tidak mudah terkena virus, kecuali kalau buka facebook, youtube atau twitter. Ada plugin yang bisa mematikan javascript untuk firefox dan Chrome. Jangan pakai Internet Explorer. Bisa coba pakai opera 12.18. Coba juga batasi website website yang bisa diakses oleh komputer.

Di atas juga dijelaskan bahwa virus akan mengecek website dulu. Jadi untuk IT perusahaan, matikan internet dulu. User boleh browsing dengan proxy tapi windowsnya jangan dibuat bisa browsing. Jadi yang bisa browsing cuma browsernya saja.

Install juga anti virus. Kemudian coba buka website korlantas di atas dan lihat antivirusnya bisa deteksi atau tidak.

Semoga ISP ISP dan website yang pakai server windows juga memperhatikan hal ini. Semacam website polri, Astra dll. Website windows salah satu cirinya adalah nama web page ada tulisan “.aspx”.

Removal tool, untuk menghilangkan virus dan mengembalikan file yang ke encrypt:
Symantec – Ransom.Wannacry – Removal
Trend Micro™ Ransomware Screen Unlocker Tool
Trend Micro Ransomware File Decryptor
Kaspersky – Free Ransomware Decryptors
Avast – Free Ransomware Decryption Tools
Emsisoft Decrypter
McAfee Free Tools

Pencegah enkripsi file:
Ransomware Interceptor (Pilot)