Serangan virus komputer tradisional terkadang cukup tersembunyi. Anda mungkin menyadari bahwa komputer Anda menjadi lambat. Beberapa file mungkin mulai hilang. File lain yang tidak diketahui, tidak dapat dibaca, dan tidak dapat dihapus mungkin akan muncul. Di sisi lain, serangan ransomware ingin membuat dirinya diketahui. Segera setelah pelaku kejahatan menargetkan Anda, Anda akan menerima sebuah pemberitahuan penting yang memberitahu Anda apa yang telah terjadi—seperti yang terjadi pada serangan ransomware WannaCry yang terkenal pada tahun 2017. Ransomware WannaCry adalah salah satu serangan paling terkenal yang masih segar dalam ingatan, yang berdampak pada ratusan ribu orang di seluruh dunia, menyebabkan kerugian jutaan dolar, dan bahkan memengaruhi NHS (National Health Service) Inggris. Pelajari lebih lanjut tentang ancaman ini, pahami cara kerja ransomware WannaCry, dan temukan tindakan yang dapat Anda lakukan untuk melindungi diri dari serangan serupa. Daftar Isi Apa yang Dimaksud dengan Ransomware WannaCry? Penemuan Pertama Ransomware WannaCry Bagaimana Cara Kerja Ransomware WannaCry? Fitur unik Metode Penyebaran Proses Enkripsi Dampak dari Ransomware WannaCry Bagaimana Virus WannaCry Dihentikan? Tindakan yang Harus Dilakukan Jika Terserang Ransomware WannaCry Melaporkan Serangan ke Pihak Berwenang Mengisolasi Perangkat Anda Mengidentifikasi Ancaman Menggunakan Alat Dekripsi Ransomware Memulihkan File dengan Software Recovery Apakah WannaCry Masih Menjadi Ancaman? Cara Melindungi Komputer Anda dari Ransomware WannaCry Apa yang Dimaksud dengan Ransomware WannaCry? Saat berbicara tentang software berbahaya, Anda dapat menemukan sangat banyak program, dengan yang paling umum adalah virus dan worm komputer. Walaupun demikian, malware WannaCry bukanlah sebuah virus komputer tradisional yang dapat Anda hilangkan dengan sebuah solusi antimalware. WannaCry adalah sebuah serangan siber ransomware yang melibatkan pemerasan moneter. Seperti namanya, ransomware adalah software berbahaya yang menahan data Anda untuk mendapatkan tebusan. Locker ransomware hanya mengunci Anda dari komputer Anda hingga Anda membayar jumlah yang diminta kepada para peretas. Di sisi lain, crypto ransomware mengenkripsi data Anda dan hanya akan mengirimkan kunci enkripsi setelah Anda memenuhi permintaan peretas. Virus WannaCry termasuk dalam kategori ini. Dalam serangan siber WannaCry, para peretas menginstruksikan target untuk membayar Bitcoin senilai $300 ke dompet yang ditentukan dalam waktu tiga hari. Setelah tiga hari berlalu, uang tebusan akan meningkat menjadi $600 Bitcoin. Hanya setelah melakukan pembayaran yang diminta barulah para peretas akan merilis data yang ditahan. Jika tidak, mereka akan memusnahkan semua data dalam waktu tujuh hari setelah serangan. Untungnya, para peretas berbaik hati menjanjikan "kegiatan gratis" ke depannya bagi target "yang sangat miskin" hingga mereka tidak mampu melakukan pembayaran tersebut. Penemuan Pertama Ransomware WannaCry 12 Mei 2017 adalah hari yang menentukan di mana worm ransomware WannaCry menyusupi lebih dari 230.000 komputer di seluruh dunia dan mulai menimbulkan kekacauan. Walaupun sulit untuk mengetahui target pertamanya, salah satu perusahaan pertama yang melaporkan serangan di Eropa adalah perusahaan telekomunikasi Spanyol Telefónica. Segera setelah itu, NHS Inggris melaporkan serangan WannaCry. Hal ini memengaruhi lebih dari sepertiga Trust rumah sakit NHS, memaksa NHS untuk mengalihkan ambulans dan membatalkan atau menginterupsi operasi dan janji temu lainnya. Hanya dalam beberapa jam, serangan tersebut menyebar ke lebih dari 150 negara dan ratusan ribu target, sehingga ransomware WannaCry pada tahun 2017 mencatat sejarah sebagai salah satu serangan siber yang paling serius. Bagaimana Cara Kerja Ransomware WannaCry? Dengan mempertimbangkan dampak WannaCry yang sangat luas, sangat beralasan untuk berasumsi bahwa ini adalah sebuah ransomware yang canggih. Lanjutkan dengan membaca penjelasan di bawah ini untuk mengetahui cara kerja serangan WannaCry. Fitur unik Ransomware WannaCry menargetkan komputer yang menjalankan versi Microsoft Windows yang telah ketinggalan zaman. Ia mengeksploitasi kerentanan EternalBlue. EternalBlue adalah kerentanan pada sistem operasi Microsoft Windows yang telah ketinggalan zaman, yang memanfaatkan cara OS tersebut mengimplementasikan protokol Server Message Block (SMB) antara node jaringan yang berbeda (komputer, printer, router, dll.). Walaupun ransomware WannaCry terlihat canggih—hanya dengan mengukur cakupan serangannya—keseluruhan proses cara kerjanya relatif sederhana karena semuanya bergantung pada kelemahan di Microsoft Windows. Sejumlah fitur yang dibawa oleh ransomware ini meliputi: Sebuah aplikasi enkripsi/dekripsi File kunci enkripsi Sebuah salinan browser Tor (untuk komunikasi dengan para peretas) Dengan ketiga fitur ini, WannaCry berhasil mengenkripsi jenis file apa pun di komputer Anda secara virtual, termasuk dokumen, foto, video, file Microsoft Office, dan apa pun di antaranya. Metode Penyebaran Awalnya, orang-orang berpikir bahwa ransomware WannaCry menyebar dalam sebuah serangan phishing, di mana target akan mendownload malware dengan mengklik sebuah nama Lampiran yang mereka terima di email mereka. Tetapi mereka segera menyadari bahwa itu bukan masalahnya. Badan Keamanan Nasional AS (NSA) diduga mengungkap kerentanan EternalBlue dan mengembangkan DoublePulsar— sebuah backdoor untuk diinstal pada komputer yang disusupi. Pertama, kelompok peretas bernama The Shadow Brokers mencuri informasi DoublePulsar dari NSA dan memublikasikannya pada bulan April 2017. Dari sana, para ahli berspekulasi bahwa kelompok peretas lain, Lazarus Group, menggunakan informasi tersebut untuk membuat dan merilis WannaCry. WannaCry memanfaatkan penerapan protokol SMB. Para penyerang terlebih dahulu melakukan pemindaian sebuah porta dan mencari komputer mana pun di sebuah jaringan yang menerima data dari internet publik melalui porta SMB (porta 445). Setelah mereka mengidentifikasi sebuah titik yang lemah, para penyerang tersebut memulai sebuah koneksi SMBv1, mengambil kendali sistem, dan menginstal ransomware. WannaCry memiliki sebuah komponen worm di dalam ransomwarenya. Komponen ini membuatnya melakukan penyebaran sendiri tanpa memerlukan tindakan dari target (seperti seorang pengguna mengklik sebuah Lampiran pada email). Worm ini bekerja di background, mencari node rentan di sebuah jaringan dan menyusupkan malware di mana pun terdapat sebuah celah. Proses Enkripsi Sebelum mengenkripsi file tertentu, ransomware WannaCry mencoba untuk mengakses sebuah URL acak dan (pada saat itu) tidak eksis. Ketika ia tidak dapat terhubung ke URL ini, ia mengenkripsi semua file pada sebuah sistem terkait. Ransomware ini menggunakan sebuah kombinasi sistem kriptografi RSA dan algoritma AES untuk mengenkripsi file-file yang terdapat di sistem milik targetnya. Itu termasuk semua file di drive lokal, drive yang dapat dilepas, dan jaringan sistem. Ia kemudian mengubah ekstensi dari semua file tersebut menjadi WNCRY, dan setelah itu target akan menerima pesan kejahatan yang memberitahu tentang serangan tersebut dan langkah-langkah untuk dekripsi file. Idealnya, setelah memenuhi tuntutan para peretas (alias setelah membayar uang tebusan), target akan menerima sebuah kunci dekripsi digital untuk membuka kunci akses ke file mereka. Walaupun demikian, hanya tersedia sedikit bukti yang menunjukkan bahwa salah satu dari ratusan target berhasil mengembalikan file mereka. Dampak dari Ransomware WannaCry Dampak dari WannaCry sangat luas. Ambulans yang dialihkan dan ratusan janji temu yang dibatalkan di Inggris hanyalah sebagian kecil dari dampak tersebut. Perkiraan menunjukkan bahwa NHS sendiri mengalami kerugian sekitar £92 juta dalam serangan itu. Walaupun layanan kesehatan mengalami dampak yang paling signifikan, industri lain juga menderita kerugian dalam serangan tersebut, termasuk: Telekomunikasi Logistik Otomotif Edukasi Keamanan Gas dan bensin Pemasaran Secara keseluruhan, mereka mengalami kerugian yang sangat besar. Walaupun tidak tersedia angka pastinya, perkiraan menunjukkan bahwa serangan tersebut mengakibatkan kerugian lebih dari $4 miliar. Itu bukan karena $4 miliar digunakan sebagai uang tebusan—sebagian besar target tidak pernah membayar uang tebusan untuk mendapatkan file mereka kembali. Sebagian besar kerugian tersebut disebabkan oleh operasi yang terganggu. Bagaimana Virus WannaCry Dihentikan? Anehnya, WannaCry terhenti karena kill switch bawaan yang memicu proses enkripsi. WannaCry diperkirakan mencoba mengakses sebuah URL yang tidak eksis untuk mengenkripsi file terkait. Ketika ia tidak dapat mengaksesnya, enkripsi dimulai. Marcus Hutchins, seorang peneliti keamanan Inggris, menemukan kill switch ini dan memutuskan untuk membeli domain yang saat itu tidak eksis tersebut, yang oleh WannaCry dicoba untuk mengaksesnya. Itu berarti bahwa ransomware dapat mengakses URL tersebut dan gagal mengeksekusi serangannya, sehingga Hutchins menghentikan serangan tersebut. Tindakan yang Harus Dilakukan Jika Terserang Ransomware WannaCry Secara umum, ancaman WannaCry saat ini tidak sebesar pada tahun 2017. Tetapi ia masih aktif, dan ransomware serupa dapat menyerang kapan saja. Berikut ini adalah sejumlah tip terbaik yang harus diikuti jika Anda menjadi korban serangan siber serupa. 1. Melaporkan Serangan ke Pihak Berwenang Langkah pertama harus Anda lakukan adalah melaporkan serangan tersebut kepada pihak berwenang—walaupun penyerang secara khusus memerintahkan Anda untuk tidak melakukannya. Tergantung pada malware spesifik yang Anda hadapi, pihak berwenang dapat membantu Anda menghilangkan ancaman tersebut jauh lebih cepat dibandingkan jika Anda menanganinya sendirian. Setiap negara memiliki otoritas yang berbeda untuk melaporkan kejahatan siber. Di AS, Anda harus melaporkan serangan siber ke FBI. Jika Anda tidak yakin ke mana Anda harus melapor, hubungi kantor pemerintah setempat atau polisi. Mereka setidaknya harus dapat membantu Anda mencapai administrasi yang diperlukan. 2. Mengisolasi Perangkat Anda Langkah selanjutnya adalah mengisolasi perangkat Anda. Dalam kebanyakan kasus, hardware apa pun yang terhubung langsung ke perangkat Anda (seperti printer atau drive lokal dan drive yang dapat dilepas) kemungkinan juga terinfeksi. Oleh karena itu, isolasi setiap perangkat yang terkena malware. Anda dapat mengisolasi perangkat Anda dengan: Memutuskan hubungan mereka dari jaringan yang digunakan Melepasnya dari WiFi Memutuskan hubungan dan mematikannya Langkah-langkah ini dapat membantu mencegah kerusakan lebih lanjut hingga Anda mengatasi ancaman tersebut. 3. Mengidentifikasi Ancaman Terdapat beragam ancaman siber, dan mengidentifikasi ancaman yang sedang Anda hadapi dapat sangat membantu. Untuk mendeteksi WannaCry secara spesifik, Anda hanya perlu memeriksa log sistem dan trafik jaringan Anda. Pantau terus DNS Query untuk URL kill switch dan trafik outbound Anda untuk porta SMBv1. 4. Menggunakan Alat Dekripsi Ransomware Tergantung pada malware tertentu, sebuah alat dekripsi mungkin dapat membantu Anda mendapatkan kembali akses ke file Anda. Beberapa alat dekripsi yang populer meliputi: Kaspersky RakhniDecryptor Avast McAfee Ransomware Recover (Mr2) Emsisoft AVG AntiVirus Meski tidak ada satu pun dari alat dekripsi ini yang menawarkan tingkat keberhasilan 100% untuk semua jenis ransomware, tetapi mereka dapat membantu. Anda dapat menemukan lebih banyak layanan recovery ransomware terbaik yang sesuai dengan kebutuhan Anda. 5. Memulihkan File dengan Software Recovery Jika Anda tidak dapat mendekripsi file setelah sebuah serangan ransomware, masih tersedia sebuah cara bagi Anda untuk melakukan restore file tersebut dengan software seperti Wondershare Recoverit. DOWNLOAD GRATIS Untuk Windows Vista/7/8/10/11 DOWNLOAD GRATIS Untuk Mac OS X 10.10 atau versi di atasnya Wondershare Recoverit bekerja di hampir semua skenario kehilangan data, termasuk serangan ransomware, dan ia dapat membantu Anda mengembalikan file dalam beberapa langkah mudah: Download dan instal Wondershare Recoverit di PC Anda. Pilih perangkat penyimpanan Anda dari "Select a location to start recovery" dan klik Start. Software ini akan mulai memindai file yang dihapus oleh ransomware WannaCry secara otomatis. Lakukan pratinjau file yang tersedia untuk recovery dan klik Recover. Pilih sebuah jalur penyimpanan dan simpan file Anda. DOWNLOAD GRATIS Untuk Windows Vista/7/8/10/11 DOWNLOAD GRATIS Untuk Mac OS X 10.10 atau versi di atasnya Jika Anda tidak dapat mengakses PC Anda karena serangan itu, Anda harus memilih "System Crashed Computer" di Wondershare Recoverit. Anda sebaiknya menginstal software tersebut di PC yang beroperasi dengan normal dan membuat sebuah USB yang bootable untuk mendapatkan file Anda kembali. Apakah WannaCry Masih Menjadi Ancaman? WannaCry baru dihentikan pada tahun 2017. Ancaman tersebut masih ada hingga saat ini. Ransomware dan variannya telah menyerang berbagai perusahaan, tetapi untungnya sebagian besar telah berhasil mencegah kerusakan yang signifikan. Alasan utama WannaCry tetap menjadi ancaman adalah kegagalan dalam melakukan pembaruan software. Microsoft telah merilis sebuah patch Windows yang dapat menghentikan WannaCry hampir dua bulan sebelum serangan pada bulan Mei 2017. Seandainya para pengguna yang terkena dampak memperbarui software mereka segera setelah pembaruan tersebut tersedia, kita tidak akan membicarakan WannaCry hari ini. Cara Melindungi Komputer Anda dari Ransomware WannaCry Kunci untuk melindungi dari ransomware WannaCry dan serangan siber serupa adalah memperbarui semua software, program, dan aplikasi Anda secara berkala. Jangan pernah mengabaikan pembaruan software. Sebagian besar permbaruan tersebut menyertakan patch keamanan penting dan perbaikan kerentanan untuk menjaga data Anda tetap aman dan terproteksi. Bahkan satu aplikasi yang telah ketinggalan zaman pun dapat berisiko bagi Anda jika aplikasi tersebut telah diketahui memiliki kerentanan, jadi Anda sebaiknya tidak mengambil risiko tersebut. Langkah-langkah tambahan yang dapat Anda lakukan untuk melindungi dari potensi serangan siber meliputi: Menggunakan software antimalware Menggunakan password yang rumit Menghindari nama Lampiran yang mencurigakan Mengawasi trafik jaringan Anda Melakukan backup data Anda secara berkala Selalu mengetahui informasi terkini tentang risiko keamanan siber Mengikuti langkah-langkah ini tidak akan membuat Anda kebal terhadap serangan siber. Tetapi langkah-langkah tersebut dapat menjadikan Anda target yang lebih sulit dan mengurangi risiko menghadapi ancaman seperti WannaCry. Pertanyaan yang Sering Ditanyakan Siapa dalang di balik ransomware WannaCry? Secara keseluruhan, Lazarus Group, yang memiliki hubungan dengan pemerintah Korea Utara, sepertinya merupakan pihak yang harus disalahkan. Tetapi tidak ditemukan bukti pasti bahwa kelompok peretas ini berada di balik serangan tersebut. Mengapa WannaCry begitu sukses? WannaCry berhasil karena ia mengeksploitasi kerentanan keamanan EternalBlue di Microsoft Windows. WannaCry tidak akan begitu mengganggu seandainya semua pengguna memperbarui Microsoft Windows mereka dua bulan sebelum serangan tersebut terjadi. Apakah WannaCry adalah sebuah virus atau worm? Secara teknis, WannaCry merupakan ransomware dengan sebuah komponen worm. Komponen ini memungkinkannya untuk menyebar sendiri dan terus menyerang semua node yang terhubung ke sebuah jaringan tanpa campur tangan manusia. Apakah WannaCry telah mati? WannaCry belum mati. Ancaman ini masih ada, tetapi berkat Marcus Hutchins dan penemuannya atas kill switch, serangan signifikan lebih lanjut telah berhasil dihentikan. Berapa jumlah negara yang terkena dampak WannaCry? Perkiraan menunjukkan bahwa WannaCry memengaruhi sekitar 150 negara dan 230.000 pengguna. Apakah WannaCry merupakan ransomware terbesar? Berdasarkan dampaknya saja, WannaCry adalah ransomware paling populer yang memengaruhi dunia. Serangan ransomware signifikan lainnya berasal dari TeslaCrypt dan NotPetya. Siapa yang menghentikan virus WannaCry? Marcus Hutchins, seorang peneliti keamanan komputer Inggris, mengidentifikasi kill switch WannaCry. Dia membeli domain yang dibutuhkan oleh ransomware tersebut untuk menggagalkan akses ke file enkripsi dan berhasil menghentikan serangan lebih lanjut.