Yang paling menonjol adalah perusahaan telekomunikasi Spanyol Telefonica yang menjadi korban, begitu pula rumah sakit di seluruh Inggris. Menurut Penjaga, serangan di Inggris menghantam setidaknya 16 fasilitas Sistem Kesehatan Nasional (NHS) dan secara langsung membahayakan sistem teknologi informasi (TI) yang digunakan untuk menjamin keselamatan pasien.
Video yang Direkomendasikan
Avast
Ransomware WanaCryptOR, atau WCry, didasarkan pada kerentanan yang diidentifikasi dalam protokol Blok Pesan Server Windows dan telah ditambal di Patch Selasa Microsoft Maret 2017 pembaruan keamanan, lapor Kaspersky Labs. Versi pertama WCry diidentifikasi pada bulan Februari dan sejak itu telah diterjemahkan ke dalam 28 bahasa berbeda.
Microsoft telah merespons terhadap serangan tersebut melalui postingan blog Keamanan Windows miliknya, yang memperkuat pesan bahwa PC Windows yang saat ini mendukung yang menjalankan patch keamanan terbaru aman dari malware. Selain itu, Windows Defenders telah diperbarui untuk memberikan perlindungan real-time.
“Pada 12 Mei 2017 kami mendeteksi ransomware baru yang menyebar seperti worm dengan memanfaatkan kerentanan yang telah diperbaiki sebelumnya,” ringkasan serangan Microsoft dimulai. “Meskipun pembaruan keamanan diterapkan secara otomatis di sebagian besar komputer, beberapa pengguna dan perusahaan mungkin menunda penerapan patch. Sayangnya, malware yang dikenal sebagai WannaCrypt tampaknya telah memengaruhi komputer yang belum menerapkan patch untuk kerentanan ini. Saat serangan sedang berlangsung, kami mengingatkan pengguna untuk menginstal MS17-010 jika mereka belum melakukannya.”
Pernyataan tersebut melanjutkan: “Telemetri antimalware Microsoft segera mendeteksi tanda-tanda kampanye ini. Sistem pakar kami memberi kami visibilitas dan konteks terhadap serangan baru yang terjadi, sehingga Windows Defender Antivirus dapat memberikan pertahanan secara real-time. Melalui analisis otomatis, pembelajaran mesin, dan pemodelan prediktif, kami dapat dengan cepat memberikan perlindungan terhadap malware ini.”
Avast lebih lanjut berspekulasi bahwa eksploitasi yang mendasarinya dicuri dari Equation Group, yang diduga terkait dengan NSA, oleh kelompok peretas yang menamakan diri mereka ShadowBrokers. Eksploitasi ini dikenal sebagai ETERNALBLUE dan diberi nama MS17-010 oleh Microsoft.
Saat malware menyerang, ia mengubah nama file yang terpengaruh menjadi ekstensi “.WNCRY” dan menambahkan “WANACRY!” penanda di awal setiap file. Ia juga menempatkan catatan tebusannya ke dalam file teks di mesin korban:
Avast
Kemudian, ransomware menampilkan pesan tebusan yang meminta antara $300 dan $600 dalam mata uang bitcoin dan memberikan instruksi tentang cara membayar dan kemudian memulihkan file terenkripsi. Bahasa dalam instruksi tebusan anehnya biasa saja dan tampak mirip dengan apa yang mungkin dibaca dalam tawaran untuk membeli produk secara online. Faktanya, pengguna memiliki waktu tiga hari untuk membayar sebelum uang tebusan digandakan dan tujuh hari untuk membayar sebelum file tidak dapat dipulihkan lagi.
Avast
Menariknya, serangan tersebut diperlambat atau berpotensi dihentikan oleh “pahlawan yang tidak disengaja” hanya dengan mendaftarkan domain web yang telah dikodekan ke dalam kode ransomware. Jika domain tersebut merespons permintaan malware, maka domain tersebut akan berhenti menginfeksi sistem baru – bertindak sebagai semacam “tombol mematikan” yang dapat digunakan penjahat dunia maya untuk menghentikan serangan.
Sebagai Penjaga menunjukkan, peneliti, yang hanya dikenal sebagai MalwareTech, mendaftarkan domain tersebut seharga $10,69 tanpa menyadarinya pada saat tombol pemutus terjadi, dan mengatakan, “Saya keluar makan siang dengan seorang teman dan kembali sekitar jam 3 sore. dan melihat masuknya artikel berita tentang NHS dan berbagai organisasi di Inggris memukul. Saya telah memeriksanya sedikit dan kemudian saya menemukan contoh malware di baliknya, dan melihat bahwa malware itu terhubung ke domain tertentu, yang tidak terdaftar. Jadi saya mengambilnya tanpa mengetahui apa fungsinya saat itu.”
MalwareTech mendaftarkan domain tersebut atas nama perusahaannya, yang melacak botnet, dan pada awalnya, mereka dituduh memulai serangan. “Awalnya seseorang melaporkan dengan cara yang salah bahwa kami menyebabkan infeksi dengan mendaftarkan domain, jadi saya yang melaporkannya sebuah kepanikan kecil sampai saya menyadari bahwa sebenarnya yang terjadi adalah sebaliknya dan kami telah menghentikannya,” kata MalwareTech kepada The Wali.
Namun hal ini kemungkinan besar bukanlah akhir dari serangan, karena penyerang mungkin dapat mengubah kode untuk menghilangkan tombol pemutus. Satu-satunya perbaikan nyata adalah memastikan bahwa mesin telah ditambal sepenuhnya dan menjalankan perangkat lunak perlindungan malware yang tepat. Meskipun mesin Windows adalah target serangan khusus ini, MacOS telah menunjukkan kerentanannya sendiri sehingga pengguna OS Apple juga harus mengambil langkah yang tepat.
Berita yang lebih cerah, kini tampaknya ada alat baru yang dapat menentukan kunci enkripsi yang digunakan oleh ransomware pada beberapa mesin yang memungkinkan pengguna memulihkan data mereka. Alat baru yang diberi nama Wanakiwi ini mirip dengan alat lainnya, nakal, tetapi ia menawarkan antarmuka yang lebih sederhana dan berpotensi memperbaiki mesin yang menjalankan lebih banyak versi Windows. Sebagai Ars Technica melaporkan, Wanakiwi menggunakan beberapa trik untuk memulihkan bilangan prima yang digunakan dalam membuat kunci enkripsi, pada dasarnya dengan mengambil bilangan tersebut RAM jika mesin yang terinfeksi tetap menyala dan data belum ditimpa. Wanawiki memanfaatkan beberapa “kekurangan” pada antarmuka pemrograman aplikasi Kriptografi Microsoft yang digunakan oleh WannaCry dan berbagai aplikasi lain untuk membuat kunci enkripsi.
Menurut Benjamin Delpy, yang membantu mengembangkan Wanakiwi, alat tersebut telah diuji pada sejumlah mesin dengan hard drive terenkripsi dan berhasil mendekripsi beberapa di antaranya. Windows Server 2003 dan Windows 7 termasuk di antara versi yang diuji, dan Delpy berasumsi Wanakiwi juga dapat digunakan dengan versi lain. Seperti yang dikatakan Delpy, pengguna “cukup mengunduh Wanakiwi, dan jika kuncinya dapat dibuat lagi, ia akan mengekstraknya, merekonstruksinya (yang bagus), dan memulai dekripsi semua file di disk. Sebagai bonus, kunci yang saya peroleh dapat digunakan dengan dekripsi malware untuk mendekripsi file seperti jika Anda membayar.”
Kelemahannya adalah Wanakiwi maupun Wannakey tidak berfungsi jika PC yang terinfeksi telah di-restart atau jika ruang memori yang menyimpan bilangan prima telah ditimpa. Jadi ini jelas merupakan alat yang harus diunduh dan disiapkan. Untuk menambah ketenangan pikiran, perlu dicatat bahwa perusahaan keamanan Comae Technologies membantu pengembangan dan pengujian Wanakiwi dan dapat memverifikasi keefektifannya.
Kamu bisa unduh Wanakiwi di sini. Cukup dekompresi aplikasi dan jalankan, dan perhatikan bahwa Windows 10 akan mengeluh bahwa aplikasi tersebut adalah program yang tidak dikenal dan Anda perlu menekan “Info lebih lanjut” untuk mengizinkannya berjalan.
Tandai Coppock/Tren Digital
Ransomware adalah salah satu jenis malware terburuk, karena ia menyerang informasi kita dan menguncinya di balik enkripsi yang kuat kecuali kita membayar uang kepada penyerang dengan imbalan kunci untuk membukanya. Ada sesuatu yang bersifat pribadi tentang ransomware yang membuatnya berbeda dari serangan malware acak yang mengubah PC kita menjadi bot tanpa wajah.
Satu-satunya cara terbaik untuk melindungi terhadap WCry adalah memastikan bahwa PC Windows Anda telah dipatch sepenuhnya dengan pembaruan terkini. Jika Anda telah mengikuti jadwal Patch Tuesday Microsoft dan menjalankan setidaknya Windows Defender, maka mesin Anda seharusnya sudah mengikuti jadwal tersebut dilindungi — meskipun memiliki cadangan offline dari file terpenting Anda yang tidak dapat disentuh oleh serangan semacam itu merupakan langkah penting untuk melakukannya mengambil. Ke depannya, ribuan mesin yang belum ditambal akan terus menderita akibat serangan yang meluas ini.
Diperbarui pada 19-05-2017 oleh Mark Coppock: Menambahkan informasi tentang alat Wanakiwi.
Rekomendasi Editor
- Serangan Ransomware telah melonjak secara besar-besaran. Inilah cara agar tetap aman
- Peretas mencetak gol dengan ransomware yang menyerang korban sebelumnya
