Wannacry terjadi pada sejak Mei 2017 sampai saat ini telah melumpuhkan lebih dari 200.000 komputer di lebih dari 150 negara[1], dengan estimasi total kerugian mulai dari ratusan juta hingga miliaran US dollar. Demikian pula di Indonesia serangan ransomware Wannacry ini telah melumpuhkan sejumlah stakeholder, diantaranya RS Harapan Kita, RS. Dharmais, dan Universitas Jember yang terkena dampaknya. Meskipun sudah lebih dari 1 (satu) tahun lebih berlalu, ternyata data dari Kaspersky Lab menyebutkan bahwa dalam kurun waktu November 2017 sampai Oktober 2018 ransomware Wannacry menduduki peringkat 1 kategori crypto ransomware yang banyak menginfeksi (detail pada gambar 1). Hal ini berarti serangan Wannacry belum berakhir.
Memahami Kembali Ransomware Wannacry
1. Apa itu Ransomware Wannacry?
Ransomware Wannacry adalah malicious software yang menargetkan pengguna sistem operasi Microsoft Windows dengan mengenkripsi data korban dan menuntut pembayaran uang tebusan dalam cryptocurrency Bitcoin. Wannacry juga termasuk kategori network worm karena kapabilitas/kemampuan untuk menyebarkan diri (propagasi) kepada calon korban lainnya. Wannacry juga dikenal juga dengan nama WannaCrypt, WanaCrypt0r, WCrypt, WCRY. Adapun WannaCry versi 0, 1, dan 2 dibuat menggunakan Microsoft Visual C ++ 6.0.
2. Bagaimana Ransomware Wannacry Bekerja?
Seperti ransomware lainnya, ketika Wannacry yang sudah menginfeksi komputer korban, Wannacry akan melakukan enkripsi terhadap semua dokumen korban, sehingga korban tidak dapat mengakses semua dokumen yang dimilikinya. Kemudian Wannacry akan menyebar dengan cara :
a. Men-scanning sistem operasi yang vulnerable yang terhubung jaringan;
b. Menggunakan exploit tool EternalBlue yang memanfaatkan celah keamanan file sharing Windows (SMBv1) untuk mendapatkan akses;
c. Menggunakan exploit tool DoublePulsar untuk meng-install dan menjalankan salinannya sendiri.
Wannacry juga dapat menyebar melalui metode lain, seperti [3] :
a. Phishing e-mail, yaitu e-mail dengan attachment berupa malicious document (PDF, Word, dan lainnya).
b. File malicious yang diunduh langsung oleh korban dari internet.
File malicious seringkali berupa video porno dan aplikasi bajakan.
c. Pertukaran media, seperti USB flashdisk atau eksternal harddisk yang sudah terkontaminasi Wannacry.
Siapa Saja Yang Berpotensi Terkena Ransomware Wannacry?
Mereka yang berpotensi terkena Wannacry adalah pemilik komputer dengan sistem operasi Windows yang belum pernah di-patch sejak April 2017. Daftar dari sistem operasi Windows yang berpotensi terkena Wannacry yaitu :
Namun data dari Kaspersky Lab menyebutkan bahwa dari pengguna yang terinfeksi Wannacry sebanyak 0.1% terjadi di Windows XP dan 98% terjadi di Windows 7.
Bagaimana Mencegah Ransomware Wannacry?
1. Menonaktifkan SMBv1
Wannacry menggunakan kerentanan dari SMBv1, sehingga untuk mencegah Wannacry pengguna Windows perlu dapat menonaktifkan SMBv1 baik pada sisi server (SMBv1 Server) maupun sisi client (SMBv1 Client/Workstation). Terdapat beberapa metode untuk menonaktifkan SMBv1 diantaranya menggunakan Command Prompt (CMD), Windows Powershell, dan Register Edit (Regedit). Untuk teknis menonaktifkan SMBv1 dapat dilihat pada Panduan Menonaktifkan SMBv1 Server dan Panduan Menonaktifkan SMBv1 Client.
2. Menerapkan Patch dan Menggunakan Tool dari Windows
Setelah Microsoft menemukan kerentanannya pada 14 Maret 2017 Microsoft mengeluarkan buletin keamanan MS17-010[2] yang merinci kelemahannya dan menginfokan bahwa patch telah dirilis untuk semua versi Windows yang rentan. Patch ini diberikan apabila pengguna menjalankan fitur Windows Update atau bisa mengunduh secara manual melalui link : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598. Selain itu Windows pada 22 Mei 2017 merilis tool khusus untuk mengatasi Wannacry yaitu Windows Malicious Software Removal Tool (MSRT)[3]. Atau dapat juga menggunakan Microsoft Safety Scanner[4] untuk mengatasi Wannacry atau malware lainnya, tool ini baru dirilis oleh Microsoft pada 22 Februari 2019.
3. Menonaktifkan Fungsi Macros pada Microsoft Office
Windows Scripting Host (sering disingkat menjadi WSH) adalah sebuah aplikasi yang mendukung fungsi-fungsi scripting di dalam sistem operasi Windows 2000, Windows NT Option Pack, Windows 98, Windows XP, dan Windows Vista yang mengizinkan para administrator untuk mengeksekusi script untuk beberapa tugas administratif, baik itu menggunakan cscript.exe maupun wscript.exe[5]. WSH ini digunakan untuk membuat macros. Sedangkan menonaktifkan fungsi macros bertujuan untuk menghindari file dari aplikasi Ms. Office, atau WScript terkena dampak penyebaran Wannacry.
Berikut ini adalah langkah untuk mengetahui status ON / OFF dari WSH dan Macros :
a. Buka Menu Run dari Windows, kemudian ketikkan wscript.
b. Jika muncul pesan: “Windows Script Host access is disabled on this machine. Contact your administrator for details.”, itu artinya WSH dalam posisi OFF. Jika muncul kotak dialog Windows Scripting Host Settings artinya WSH dalam posisi ON.
Sedangkan untuk menonaktifkan fungsi Macros lakukan hal berikut :
Untuk Microsoft Office 2007 (Word, Excel, Power Point) :
a. Klik Microsoft Office Button di Kiri Atas. Lalu Pilih Access Options
b. Klik Trust Center, lalu klik Trus Center Settings, dan lalu klik Macro Settings
c. Pilih Opsi : Disable all macros with notification
Untuk Microsoft Office 2007 (Outlook) :
a. Pilih Menu Tools, lalu klik Trust Center
b. Klik Settings
c. Pilih Opsi : Disable all macros with notification
Untuk Microsoft Office 2010, 2013, 2016 (Excel, Word, Outlook, PowerPoint, Access, Visio) :
a. Klik Tab File
b. Klik Options
c. Klik Trust Center, lalu klik Trust Center Settings
d. Pada bagian Trust Center, klik Macro Settings
e. Pilih Opsi : Disable all macros with notification
f. Klik OK.
4. Blokir Port TCP : 139,445,3389 dan Port UDP : 137,138
Port 139/445 pada sistem Windows digunakan untuk banyak keperluan. Salah satu keperluan yang membutuhkan port tersebut adalah untuk Sharing File/Folder dan Sharing Printer. Port ini digunakan Wannacry sebagai media propagasi/penyebaran diri. Jika tidak digunakan sebaiknya port-port ini ditutup. Namun jika port ini ditutup, maka ada kemungkinan layanan sharing file dan sharing printer tidak berfungsi.
a. Untuk melakukan blocking pada port TCP 139,445,3389 yaitu :
1) Buka Windows Firewall atau menu Run dari Windows, kemudian ketikkan wf.msc. Klik Advanced Setting.
2) Klik Inbound Rule, pilih New Rule.
3) Pilih Port, lalu klik Next.
4) Pilih TCP, lalu isikan : 139, 445, 3389 dan klik Next.
5) Pilih Block the connection, lalu klik Next.
6) Centang þ semua pilihan yang ada (Domain, Private, Public), lalu klik Next.
7) Isikan Nama Profilenya, misalnya : “Block Wannacry TCP”, klik Finish.
8) Pastikan di Inbound Rule ada Profile “Block Wanncry TCP” dengan status Enabled.
b. Untuk melakukan blocking pada port UDP 137,138 yaitu :
1) Ulangi Step by Step di atas mulai dari nomor 1) s.d. 3).
2) Pilih TCP, lalu isikan : 137,138 dan klik Next.
3) Lakukan hal yang sama sampai selesai, namun Nama Profilenya diganti “Block Wannacry UDP”.
Jika Terlanjur Terkena Ransomware Wannacry, Apa yang Harus Dilakukan?
1. Putuskan Koneksi Komputer ke Jaringan
Hal ini bertujuan untuk mencegah propagasi/penyebaran Wannacry melalui celah keamanan pada SMBv1 kepada komputer lainnya yang berada di jaringan yang sama.
2. Melakukan Dekripsi dengan Berbagai Tool
Saat ini tersedia berbagai tool untuk melakukan dekripsi data yang terinfeksi Wannacry, berdasarkan hasil riset dari berbagai pihak[7] :
a. Coba dekripsi langsung di Wannacrypt dengan password berupa : WNcry@2ol7
b. Coba gunakan tool Wannakiwi
WanaKiwi merupakan tool yang dijalankan menggunakan command prompt (CMD) dan dapat diunduh pada link : https://github.com/gentilkiwi/wanakiwi/releases.
Apabila dekripsi tidak berhasil, maka disarankan untuk melakukan backup semua file yang sudah terenkripsi ke dalam media terpisah (seperti flashdisk atau hardisk), dan media tersebut jangan digunakan sebagai media pertukaran file melainkan hanya untuk menyimpan dokumen yang terenkripsi. Tujuannya adalah jika sewaktu-waktu terdapat tool untuk dekripsi, maka file yang sudah terenkripsi dapat dikembalikan.
3. Melakukan Restore Sistem Operasi Windows
Ketika Windows terinfeksi Wannacry, maka sistem operasi Windows tidak dapat digunakan. Untuk itu state pada system perlu dikembalikan ke kondisi semula sebelum terinfeksi Wannacry dengan menggunakan fitur System Restore. Apabila pengguna tidak pernah membuat Restore Point, maka bisa dilakukan restore ke kondisi paling awal (factory setting). Namun demikian, fitur System Restore tidak bisa mengembalikan data pengguna yang telah terinfeksi.
Lesson Learnt dari Insiden Wannacry
1. Gunakan Sistem Operasi Windows yang Genuine
Sudah 1 (satu) tahun lebih berlalu sejak Wannacry beredar dan patch Windows juga dirilis, namun ternyata banyak pengguna Windows yang tidak mendapatkan patch ini diantaranya karena sistem operasinya tidak genuine alias bajakan. Dalam sebuah studi disebutkan bahwa Indonesia menempati peringkat ke-2 dalam hal penggunaan Windows bajakan dengan persentase 86%[6]. Oleh karena itu, diperlukan kesadaran untuk menggunakan sistem operasi yang genuine (asli) atau menggunakan sistem operasi yang open source, seperti Linux.
2. Lakukan Pemisahan Drive untuk Data Pengguna dan Sistem
Salah satu kesalahan pengguna Windows adalah menyatukan antara drive untuk data pengguna dan drive untuk sistem, misalnya menyimpan data pengguna di folder Desktop, Documents, dan Downloads. Folder-folder tersebut merupakan bagian dari sistem, apabila terjadi serangan Wannacry tidak bisa dikembalikan seperti semula dengan fitur System Restore. Oleh karena itu disarankan untuk :
a. Drive C digunakan untuk menyimpan data system,
b. Drive D atau drive lainnya (jika partisi lebih dari 1) digunakan untuk menyimpan data pengguna.
c. Lakukan Backup secara Berkala
Metode backup untuk data sistem Windows adalah dengan membuat Restore Point, sedangkan metode backup untuk data pengguna adalah dengan menyalin data ke media terpisah (seperti flashdisk atau hardisk).
3. Tetap Update terhadap Informasi Siber
Ketika Wannacry terjadi di berbagai belahan dunia pada Mei 2017, Kominfo melalui Siaran Pers No. 56/HM/KOMINFO/05/2017 sudah memberikan informasi tentang Wannacry. Namun demikian, rupanya sampai dengan akhir tahun 2018 serangan ini masih banyak terjadi dan Indonesia masih masuk ke dalam Top 10 Countries Attacked by Encryptors. Oleh karena itu, diharapkan pengguna siber selalu memantau informasi tentang siber dan salah satunya adalah melalui website Gov-CSIRT Indonesia ini.
Referensi :
[1] Kaspersky Lab, Kaspersky Security Bulletin 2018 Statistics, halaman 10.
[2] Wannacry Ransomware Attack, diakses dari https://en.wikipedia.org/wiki/WannaCry_ransomware_attack, pada tanggal 14 Maret 2019.
[3] FAQ Wannacryptor Ransomware, diakses dari link https://govcsirt.kominfo.go.id/pencegahan-dini-ransomware-wannacry/ pada 14 Maret 2019.
[4] Microsoft Security Bulletin MS17-010-Critical, diakses dari https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010, pada 14 Maret 2019.
[5] Remove spesific prevalent malware with Windows Malicious Software Removal Tool, diakses dari https://support.microsoft.com/en-us/help/890830/remove-specific-prevalent-malware-with-windows-malicious-software-remo, pada 15 Maret 2019.
[6] Microsoft Safety Scanner, diakses dari https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download, pada 15 Maret 2019.
[7] Tip Cara Mengatasi Malware Ransomware Wannacry, diakses dari https://idcloudhost.com/tips-cara-mengatasi-malware-ransomware-wannacrypt/, pada 15 Maret 2019.
[8] What percentage of people are using genuine Windows Operating System?, diakses dari https://www.quora.com/What-percentage-of-people-are-using-genuine-Windows-Operating-System, pada 15 Maret 2019.