Waspada Virus Ransomware PETYA dan Cara mengantisipasi

PERINGATAN KEAMANAN (SECURITY ALERT)

Setelah maraknya ransomeware Wannacry beberapa waktu lalu kini muncul kembali ancaman ransomware baru yang serupa dan disebut dengan Malware Petya. 

NOTE: secara umum langkah penanganan Ransomeware Petya mirip dengan Ransomware Wannacry. Informasi tentang ini dapat diakses di alamat http://s.id/ransom

(Asumsi jika PC dalam keadaan menyala)

PC yang terinfeksi ransomware Petya akan muncul peringatan serperti berikut pada saat setelah proses reboot:

DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS, TOU COULD DESTROY ALL OF

YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

Jika muncul pesan seperti ini segera MATIKAN PC Anda, jika PC Anda tetap dalam keadaan mati maka data Anda akan baik-baik saja.

(Asumsi antisipasi PC dalam keadaan mati)

1. Putuskan koneksi jaringan kabel LAN atau matikan koneksi WiFi (untuk sementara sampai seluruh langkah mitigasi selesai dilakukan dan telah dipastikan sistem operasi komputer telah terupdate dan data penting telah diselamatkan / backup)

2. Lakukan backup semua data yang ada di PC / client / host maupun di server khususnya file sharing. Untuk keamanan, walaupun servernya menggunakan Linux, MacOS dll. Disarankan untuk membackup filenya juga ke external drive kemudian cabut external drive tersebut dan amankan di tempat lain. Apabila terhubung ke online cloud storage yang tersinkronisasi, maka putuskan hubungan untuk sementara sampai semuanya aman

3. Download Tools dan Security Patch secara manual dari komputer lain yang dipastikan aman

4. Install Tools dan Security Patch yang sudah di-download tersebut ke komputer target (korban)

5. Lakukan Full Scan PC / Laptop menggunakan Anti Virus dengan fitur Total Security dengan catatan AV tersebut sudah menggunakan update terbaru

6. Non-aktifkan Macro service pada MS.Office dan SMB Service pada PC / client / host maupun di server, aktifkan Firewall dan block Port 139, 445, 3389 untuk sementara sampai seluruh proses mitigasi, backup dan update patch tuntas dilaksanakan dan tidak ada masalah lain:

- Cara untuk menonaktifkan macro service:

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-

documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

- Cara untuk menonaktifkan SMB service:

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-

smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-

windows-server-2008-r2,-windows-8,-and-windows-server-2012

- Cara untuk menonaktifkan WMIC (Windows Management Instrumentation Command-line) https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

Untuk komunikasi dan konsultasi lebih lanjut, silahkan menghubungi:

Email: info@idsirtii.or.id untuk permintaan informasi umum tentang ancama ini

Email: incident@idsirtii.or.id untuk laporan insiden dan permintaan bantuan teknis

Whatsapp M.S. Manggalanny: +62 811-99-360-71 ; Adi Jaelani: +62 857-2414-4246

1. Apakah Ransomware Wannacry turut menyerang gadget selain komputer?

Tidak, Wannacry hanya memengaruhi komputer dengan sistem operasi Windows yang terhubung  dengan jaringan lokal (LAN) khususnya Windows Network File and Printer Sharing dan Internet.

2. Sistem operasi Windows apa saja yang terpengaruh?

Sistem operasi Windows yang terpengaruh adalah: Windows 8, Windows XP SP3, Windows Vista,  Windows Server 2008, Windows Server 2003 + Data Center Edition, Windows 8 x64, Windows XP SP3terakEmbedded, Windows Server 2003 x64 + Data Center Edition, Windows XP SP2 x64, Windows  Vista  x64, Windows Server 2008 Itanium, Windows Server 2008 x64, dan Windows XP Embedded.

3. Windows saya varian salah satu dari daftar di atas, tetapi selama ini selalu online dan otomatis update, terakhir tanggal 12 Mei 2017. Apakah masih perlu melakukan patch?

Tidak perlu. Namun untuk memastikan, silahkan lakukan Full Scan dengan Anti Virus yang update dan memiliki fitur Anti Ransomware dan aktifkan proteksinya untuk mencegah penularan di masa depan.  Silahkan lanjut ke Point 10.

4. Apakah serangan Ransomware Wannacry hanya terjadi pada hari Senin saja?

Tidak, serangan Ransomware Wannacry sudah terjadi sejak beberapa waktu kebelakang. Senin 15 Mei 2017 ini menjadi hari krusial karena merupakan hari pertama efektif kerja setelah long weekend. Dimana pada long weekend banyak PC atau Laptop yang berada dalam kondisi offline atau dibawa pulang dan digunakan di luar kantor sehingga mungkin sempat terinfeksi walaupun belum aktif. Apabila hari Senin tsb. masuk kerja, komputer atau PC tersambung ke jaringan, maka akan sangat rentan untuk menginfeksi komputer atau PC lain yang belum terkena Ransomware Wannacry.

5.  Apakah kita harus menghentikan koneksi jaringan lokal (LAN) dan Internet untuk seterusnya?

Tidak, tujuan dari penghentian koneksi jaringan lokal (LAN) dan internet adalah agar PC atau Laptop yang sudah terinfeksi Ransomware Wannacry tidak menyebar serangan ke PC atau Laptop lain. Sehingga kita dapat melakukan backup atau pencadangan data secara aman dan tenang.

6. Apa yang menyebabkan Ransomware Wannacry ini aktif di komputer korban?

Ransomware Wannacry ini aktif dengan cara mendeteksi koneksi jaringan lokal (LAN) Windows Network File and Printer Sharing. Setelah itu dia akan langsung melakukan enkripsi (penguncian) terhadap semua data di komputer korban. Berikutnya dia akan menyebar secara otomatis ke semua komputer di dalam jaringan menumpang protokol SMB Windows Network File and Printer Sharing dan menginfeksi komputer lain. Jenis Ransomware Wannacry ini bekerja tanpa campur tangan user sama sekali.

7. Saya awam, tidak tahu bagaimana caranya mematikan SMB dan Macros?

Di bawah ini ada tautan (link) yang menjelaskan langkah-langkah bagaimana caranya mematikan SMB dan Macros. Silahkan diikuti. Tetapi kalau anda betul-betul tidak tahu maka cara paling mudah adalah: matikan koneksi WiFi dana tau cabut kabel network.

8. Apa yang harus kita lakukan setelah menghentikan Windows Network File and Printer Sharing dan koneksi Internet?                                         :                      

1. Melakukan backup/pencadangan data ke tempat penyimpanan yang tidak terkoneksi dengan jaringan internet, seperti flash disk atau hard disk external. Kemudian cabut koneksi dari PC atau Laptop dan simpan di tempat yang aman,

2. Pastikan komputer sudah melakukan patching sesuai dengan versi Windows PC atau Laptop anda, kalau belum maka lakukan patching secara manual:

a. Download files update terkait dari situs Microsoft

b. Download Anti Virus (kalau tidak punya AV yang memiliki fitur anti ransomware)

c. Kopi semua file terkait ke USB Flash Disk dan lakukan install satu per satu ke semua komputer yang dicurigai

3. Install AV dan lakukan pemindaian (scan) dengan Anti Virus serta pastikan tidak ada infeksi ransomware di dalam PC atau Laptop anda, apabila sudah dipastikan bersih dari infeksi, silakan sambungkan PC atau Laptop anda ke jaringan Karena Wannacry ini aktif dengan cara mendeteksi    koneksi jaringan lokal (LAN) Windows Network File and Printer Sharing dan Internet kembali dan bekerjalah seperti biasa.

9. Bagaimana kita dapat mendownload Patch dan Anti Virus kalau jaringan LAN dan Internet diputus /dimatikan?

Gunakan komputer (PC/Laptop/Tablet) yang diyakini tidak terinfeksi untuk terkoneksi ke Internet dan mendownload Patch dan Anti Virus maupun referensi lain yang diperlukan. Misalnya komputer dengan Sistem Operasi Linux, Mac OS (kalau ada) atau Windows 10 yang Asli/Genuine dan update – untuk kasus  Ransomware Wannacry ini Window 10 tidak terdampak.

10. Bagaimana kalau kita tidak memiliki Anti Virus?                           

Sangat disarankan untuk memiliki Anti Virus. Salah satu yang kami rekomendasikan adalah dengan mengunduh Kaspersky Total Security versi Trial untuk 30 hari dan aktifkan fitur proteksi Anti Ransomware. Alternatif lain yang dapat kami rekomendasikan adalah Symantec End Point, Eset, dan Panda. Antivirus lain mungkin dapat digunakan asalkan memiliki fitur anti ransomware, silakan pilih sesuai dengan keinginan anda. Mohon diingat sebelum mengunduh Anti Virus atau mengaktifkan kembali koneksi internet, pastikan backup atau pencadangan data (poin 8a) telah dilakukan dengan baik untuk meminimalisir terjadinya infeksi ketika anda terhubung pada koneksi internet.

Sumber :

Pesan Sms KENKOMINFO

http: //idsirtii.or.id/halaman/tentang/faq .html

Share this post