Ransomware WannaCry Menyerang Indonesia, Waspada!

Worm Ransomware yang bernama WannaCry, Wanna Decryptor atau dikenal juga dengan WannaCrypt sedang menyerang dunia. Total 99 negara telah diketahui kedatangan worm berbahaya ini. Indonesia termasuk ke dalamnya. Telah ada korban di Indonesia, yakni beberapa rumah sakit.

Serangan Ransomware WannaCry di Indonesia berhasil mengunci sistem komputer di beberapa rumah sakit. Dikarenakan sistemnya terkunci, mengakibatkan data yang ada di dalam komputer menjadi tak dapat diakses. Fatal akibatnya, Layanan medis di beberapa rumah sakit tersebut menjadi terganggu.

Penyebaran Ransomware WannaCry

Komputer yang telah terjangkiti worm Ransomware WannaCry akan menampilkan notifikasi bahwa unit komputer yang menyala sedang dikunci dan tak dapat digunakan.  Notifikasi yang ditampilkan bersifat multi-lingual, sehingga bahasa Indonesia akan tampil ketika menginfeksi komputer Indonesia. Diketahui, terdapat 25 lebih bahasa yang dapat ditampakkan oleh Ransomware WannaCry.

Selain memberitahukan bahwa unit komputer tak dapat digunakan, dalam notifikasinya memberitahukan juga bahwa hacker meminta tebusan senilai 300 dollar AS untuk menyelamatkan data yang disandera dan computer dapat dipakai kembali. Uang tebusan yang diminta harus dikirim dalam bentuk bitcoin yang ditransfer ke rekening online hacker. Bitcoin sendiri merupakan cryptocurrency yang sering digunakan hacker untuk tebusan karena transaksinya tak dapat dilacak.

Worm jenis Ransomware telah banyak ada, namun, hanya Ransomware WannaCry lah yang menjadi viral di 99 negara. WannaCry menjadi viral karena penyebarannya sangat cepat dan luas, serta file yang disanderanya tidak dapat 100% kembali. Hanya butuh 2 hari saja, WannaCry menginfeksi komputer-komputer yang ada di 99 negara dan potensi penyebarannya akan masih terus berlanjut.

WannaCry dapat membuat kerusakan secara cepat dan luas dikarenakan worm ini memanfaatkan kelemahan dalam sistem keamanan software Windows. Dengan eksploitasi pada kelemahan tersebut, worm ini dapat menyebar ke sebuah komputer tanpa perlu diklik alias otomatis. Berbeda dengan Ransomware lainnya yang pengaktifannya perlu di klik. Pengaktifan tanpa klik ini mengakibatkan worm tak dapat terdeteksi anti virus. WannaCry amat mudah masuk ke dalam komputer yang tidak di-update patch software Windows-nya. Patch Windows yang menambal celah keamanannya sendiri telah di-update sejak Maret 2017.

Apa Itu Ransomware WannaCry

WannaCry disebutkan merupakan tools hacking yang dicuri dari NSA, yakni keamanan nasional AS. Tools ini telah dicuri oleh Hacker dari kelompok The Shadow Brokers pada April 2017. Setelah mencurinya, kelompok hacker ini menyebarkannya melalui internet. Meskipun The Shadow Brokers yang mencuri dan menyebarkan worm WannaCry, mereka belum dipastikan menjadi tersangka dari penyebaran worm ini. Dapat dikatakan bahwa tersangka peristiwa ini bisa jadi adalah hacker atau kelompok hacker lain.

Ransomware WannaCry diketahui mulai menyerang pada Jumat 12 Mei 2017. Pekerja di Jaringan National Health Service kepunyaan negara Inggris dibuat kerepotan pada hari itu. Penyebabnya tentu saja karena WannaCry menyandera data pasien yang ada di komputer-komputer  rumah sakit. Tidak lama setelah kejadian itu, Perusahaan anti virus Eset melaporkan bahwa worm WannaCry telah masuk ke Indonesia pada sore hari Waktu Indonesia Bagian Barat dan setelahnya korban di Indonesia mulai berjatuhan.

Telah diketahui beberapa rumah sakit di Indonesia telah terinfeksi worm WannaCry. Alfons Tanujaya, ahli keamanan cyber asal Vaksincom, memprediksi bahwa worm ini akan terus menyebar. Setelah menyebar di beberapa rumah sakit, diperkirakan worm ini akan menyebar ke perusahaan sektor perbankan. Prediksi Alfons ini diambil berdasarkan data bahwa sudah ribuan IP di Indonesia yang terjangkiti WannaCry yang di dalamnya terdapat IP perusahaan perbankan.

Siaran Pers Kominfo

Berkaitan dengan serangan Ransomware WannaCry di Indonesia, Semuel Abrijani Pangarepan yang menjabat sebagai Direktur Jenderal Aplikasi dan Informatika di Kominfo menyatakan kekhawatirannya terhadap sistem komputer yang ada di instansi dan perusahaan di Indonesia yang dapat terjangkiti WannaCry tanpa disadari.

“Ini kan libur panjang, kantor tutup hingga Senin depan. Ditakutkan setelah PC menyala menjadi terinfeksi sehingga worm tersebut masuk ke jaringan.” ujar Semuel dilansir dari Kompas, Sabtu 13 Mei 2017.

Berkaitan dengan serangan Ransomware WannaCry di Indonesia, Kominfo siaran pers mendadak dan melakukan kerja sama dengan Security Incident Response Team on Internet Infrastructure atau yang disingkat  menjadi Id-SIRTII. Kominfo berusaha mencari cara untuk pencegahan dan juga solusi bagi komputer yang terinfeksi worm Ransomware WannaCry.

Salahuddin selaku ketua Id-SIRTII menghimbau bahwa komputer kantor jangan langsung dinyalakan begitu saja pada Senin 15 Mei 2017. Ia menambahkan bahwa semua orang harus memastikan komputer tidak terhubung dengan jaringan, setelah itu backup data penting, update anti virus dan patch Windows terbaru. Serangan Ransomware WannaCry di Indonesia ini tidak main-main. Pastikan Anda semua mengikuti instruksi dari Pak Salahuddin.

Meminimalisir Ransomware WannaCry

Sebuah perusahaan produk perangkat antivirus, Kaspersky Lab menyatakan paling tidak ada lebih dari 45000 serangan virus Ransomware ini di lebih dari 74 negara, dimana sentral sasaran serangan virus ini adalah negara Rusia. Ransomware akan menyerang target dengan memanfaatkan celah pada Microsoft Windows dengan menggunakan eksploitasi yang dinamakan Eternal Blue, dimana eksploitasi ini tersedia di Internet oleh Shadowbrokers karena aksi peretasan mereka pada 14 April 2017 silam.

Saat ini perusahaan Kaspersky Lab sedang berusaha untuk melakukan tindakan pencegahan berkembangnya virus ini lebih lanjut, karena ada kabar beredar yang mengatakan gelombang serangan kedua dari virus ini sudah dipersiapkan. Untuk mencegah dampak lebih lanjut dari Ransomware WannaCry ini, perusahaan keamanan cyber dan antivirus yang berasal dari Rusia tersebut memberikan saran supaya meminimalisir resiko terinfeksi virus ini.

• Pertama, pasang patch resmi dari Microsoft untuk menutup celah yang memungkinkan serangan virus Ransomware Wannacry.
• Kedua, pastikan mengaktifkan solusi keamanan di seluruh jaringan. Kalau menggunakan produk Kaspersky Lab, pastikan anda menjalankan critical scan supaya kemungkinan infeksi dapat terdeteksi sesegera mungkin.
• Ketiga, setelah sistem terdektesi adanya MEM: Trojan.Win64.EquationDrug.gen, segera reboot sistem secepat mungkin untuk mencegah virus ini menginfeksi komputer.

Virus Ransomware WannaCry ini sendiri disusupkan oleh hacker melalui toolkit, dimana malware kemudian akan melakukan enkripsi pada file dan kemudian meminta tebusan dalam bentuk bitcoin supaya dapat membuka dan mengakses file pada komputer yang terinfeksi. Serangan Ransomware tidaklah main main, kalau anda lolos dari virus gelombang pertama ini maka bersiapkan karena akan ada gelombang serangan kedua dari virus Ransomware WannaCry yang tidak dapat dimatikan.

Pencegahan Ransomware WannaCry

Disadur dari situs resmi Kominfo, virus Ransomware WannaCry menginfeksi sebuah komputer dengan meng-enkripsi seluruh file yang ada di komputer tersebut dan dengan menggunakan kelemahan yang ada pada layanan SMB bisa melakukan eksekusi perintah lalu menyebar ke komputer windows lain pada jaringan yang sama. Semua komputer yang tersambung ke internet yang masih memiliki kelemahan ini apalagi komputer yang berada pada jaringan yang sama memiliki potensi terinfeksi terhadap ancaman WannaCry. Setiap komputer windows yang sudah terinfeksi akan mendapatkan tampilan seperti gambar di atas.

Dari tampilan diketahui bahwa WannaCry meminta ransom atau dana tebusan agar file file yang dibajak dengan enkripsi bisa dikembalikan dalam keadaan normal lagi. Dana tembusan yang diminta adalah dengan pembayaran bitcoin yang setara dgn 300 dollar amerika. Wannacry memberikan alamat bitcoin untuk pembayarannya. Disamping itu juga memberikan deadline waktu terakhir pembayaran dan waktu dimana denda tebusan bisa naik jika belum dibayar juga.

Tindakan Sebelum Infeksi

1. Cabut Kabel LAN/Wifi
2. Lakukan Backup Data
3. Update Anti-Virus
4. Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoct. Lihat disini
5. Jangan mengaktifkan fungsi macros
6. Non aktifkan fungsi SMB v1
7. Block 139/445 & 3389 Ports
8. Ulangi, selalu backup file file penting di komputer anda dan di simpan backupnya ditempat lain

Tindakan Setelah Infeksi

Saat ini belum ada solusi yang paling cepat dan jitu untuk mengembalikan file file yang sudah terinfeksi virus Ransomware WannaCry. Akan tetapi memutuskan sambungan internet dari komputer yang terinfeksi akan menghentikan penyebaran WannaCry ke komputer lain yang vulnerable.

Sebagai tambahan yang sangat penting, ID-SIRTII menghimbau agar pada hari Senin besok dan kantor akan buka, mohon diwaspadai ancaman ini dan melakukan hal-hal sebagai berikut :

• Agar PC-PC dan bentuk Komputer Personal dan Jaringan lainnya jangan terhubung ke LAN dan Internet dulu,
• Terlebih dahulu lakukan backup data penting,
• Pastikan software anti virus sudah update serta security patch yang disarankan oleh microsoft dilakukan terlebih dahulu.

Sejumlah peneliti mengatakan kalau saat ini sudah ditemukan dua varian baru yang muncul dari malware ini. Varian pertama masih bisa diblokir dengan cara mendaftarkan nama domain baru, namun varian kedua masih bisa bekerja namun tidak bekerja secara keseluruhan karena arsip yang digunakan untuk melakukan enkripsi sudah rusak, seperti yang disebutkan oleh Matt Suiche, pendiri Comae Technologies.