WannaCry Ransomware: Yang Perlu Diketahui

Barusan saja, serangan Ransomware WannaCry mendadak heboh di internet. Banyak sekali informasi beredar. Sampai ada cerita press release resmi supaya tidak menghubungkan PC di jaringan pada hari Senin (konon katanya serangan akan terjadi Senin). Duuuhh! Kepada saya, beberapa teman dan kenalan bertanya, dan saya jawab secara singkat saja. Yang ingin mendapatkan jawaban lebih panjang daripada sekedar kata 'aman' dan acungan jempol, berikut hasil research cepat saya dan dibagian akhir saya cantumkan link ke tulisan lain yang lebih lengkap.

Ransomware

Adalah sejenis malware atau malicious software (software yang jahat) yang berusaha membuat PC tidak dapat gunakan, kecuali sejumlah ransom dibayar kepada si pembuat. Kebanyakan ransomware yang dikenali, membuat PC menjadi tidak dapat digunakan dengan cara mengenkripsi berbagai file di local disk .

Ransomware ini bukan hal baru. Varian ransomware lain pernah beredar juga dulu sekitar tahun 1999 dalam bentuk trojan horse AIDS atau PC Cyborg Trojan. Dulunya trojan tersebut memodifikasi AUTOEXCE.BAT untuk menghitung sudah berapa kali komputer dinyalakan. Lalu setelah yang ke-90 kali, trojan mengenkripsi seluruh isi drive C: dan user diminta membayar US$ 189 bila mau dipulihkan. Kenapa tidak terkenal? Karena dulu penyebarannya hanya melalui disket dan juga belum terlalu banyak orang yang memilik PC.

Ransomware WannaCry

Nama lainnya: WCrypt, atau Wanna Decryptor, WannaCry Decriptor. Ia adalah ransomware, juga dengan encryptor. Namun yang berbeda adalah penyebarannya tidak melalui disket atau usb stick/flash, namun melalui jaringan komputer. Bagaimana bisa?

Di dalam tubuhnya, WannaCry menyimpan sebuah exploit untuk Windows yang dikenal dengan nama EternalBlue. Exploit ini melakukan penetrasi ke seluruh komputer bersistem operasi Windows di jaringan lewat celah keamanan di protokol SMB v1 (port 135 dan 445) dengan teknik remote code execution. Jadi komputer yang sedang diam-diam saja di jaringan pun, kalau memiliki celah keamanan tersebut, bisa terkena. Jaringan lokal dan/atau internet membantu penyebaran WannaCry Ransomware.

Mengatasi WannaCry

Sebenarnya dengan mengetahui cara kerjanya seperti diatas, cepat saja bagi tim IT Support untuk mengatasi dan menghentikan penyebarannya. Saya akan coba urai dengan cara saya sendiri, sambil melihat alternatif-alternatif solusi yang banyak beredar di internet.

1. WannaCry beredar lewat jaringan. Ya sudah, matikan saja jaringannya atau jangan terhubung ke jaringan. Yey! Bagi yang memilih solusi ini, silahkan berhenti membaca, karena saat ini Anda sedang terhubung di jaringan!
2. Daripada mematikan seluruh jaringan atau meminta orang-orang tidak terhubung di jaringan, melihat pola penyebarannya sebenarnya ada cara bagi seorang admin jaringan nirkabel (wireless) untuk menghentikan penyebaran WannaCry, yakni dengan meng-nonaktifkan fitur client-to-client forwarding pada access point. Nama fitur mungkin berbeda tergantung merek access point, atau bahkan ada acces point yang tidak mendukung. Intinya fitur tersebut mengatur apakah komunikasi antar komputer client yang terhubung diijinkan atau tidak. Bila fitur dimatikan, maka penyebaran WannaCry di jaringan tersebut tidak akan terjadi. Ingat pula, itu artinya sharing file/printer antar komputer pun tidak akan terjadi juga! Oh ya dan lagi, ini tidak berlaku di jaringan kabel.
3. WannaCry menyerang lewat port 135 dan 445. Ya sudah, tutup saja port itu. Hmmm. Solusi ini juga bisa, tapi kita perlu tau apa dampaknya. Port 135 dan 445 digunakan oleh Windows dalam layanan RPC (Remote Procedure Call) untuk konfigurasi sistem operasi secara remote dan layanan sharing file/printer antar komputer di jaringan. Menutup port 135 dan 445 artinya mematikan fitur tersebut. Lalu bagaimana mengirim file antar komputer? Gunakan usb stick/flash! Walau semua sudah pakai jaringan sekarang, gunakan saja usb stick/flash! Speechless...
4. Bila tidak mau menutup port 135 dan 445, bagaimana? WannaCry menyerang celah keamanan di protokol SMB v1, tapi dia tidak menyerang protokol SMB v2 dan v3. Protokol SMB v1 sebenarnya sudah jarang dipakai kecuali di Windows XP. Windows setelahnya ada yang masih menggunakan SMB v1, tapi hanya sekedar untuk backward compatibility. Sedangkan Windows 10, sudah tidak menggunakan protokol itu, melainkan SMB v2. Okelah, berarti update aja ke Windows 10..? Boleh! Namun bila masih ada yang pakai Windows dibawahnya, boleh juga dengan cara mematikan protokol SMB v1 (caranya: google sendiri!).
5. Bila di jaringan kantor masih ada yang menggunakan Windows XP dan/atau protokol SMB v1 masih harus digunakan untuk sharing file dan printer bagaimana? Kalau begitu maka silahkan update Windows Anda. Sebenarnya, patch untuk menutup celah keamanan di protokol SMB v1 sudah dikeluarkan oleh Microsoft sejak 14 Maret 2017 (dua bulan yang lalu!). Komputer yang terkena serangan WannaCry dan kehilangan data di harddisk bisa dipastikan adalah (1) tidak menggunakan Windows 10, atau (2) belum melakukan update Windows sampai dengan dua bulan lalu!
6. Windows saya tidak asli, boleh di-update? Oalah! Mulailah belajar membeli Windows asli. Sebagai pembuat Windows, Microsoft menggaji ribuan orang di dunia untuk setiap hari membangun dan memperbaiki berbagai aplikasi yang kita gunakan dalam berbagai pekerjaan kita untuk mencari uang. Atas hasil kerja kita, kita dibayar per bulan. Anda tidak dituntut membayar mereka per bulan, tapi bayarlah mereka setiap Anda membeli notebook/desktop PC dengan menggunakan Windows yang asli.

Saklar Pembunuh untuk WannaCry

Kemudian ada seorang peneliti Inggris di MalwareTech membedah kode WannaCry dan menemukan bahwa ransomware ini secara aktif mencoba mengakses sebuah alamat yang tidak terdaftar di internet sama sekali. Dalam struktur kodenya, WannaCry mencoba mengakses alamat tersebut, dan bila alamat tersebut aktif maka ia akan mematikan diri sendiri. Inilah saklar pembunuhnya. Alamat dimaksud saat ini sudah didaftarkan dan diaktifkan, maka berarti serangan WannaCry secara massal akan segera berhenti. Namun tetap perlu hati-hati. Ini hanya mematikan WannaCry yang asli, tapi tidak mematikan copy-an WannaCry lain yang mungkin sudah beredar.

Keberadaan saklar pembunuh (kill switch) yang menjadikan sangat mudah untuk membunuh WannaCry ini, cukup mengejutkan banyak peneliti dan menjadi bahan perbincangan. Untuk apa membuat sebuah ransomware yang bisa menyebar secara sangat luas tapi sangat mudah untuk dimatikan? Mungkin dunia hanya sedang beruntung, karena pembuatnya sengaja membuat WannaCry mudah dimatikan, walau sempat menghancurkan ribuan komputer di dunia.

Lesson Learned

Dari kejadian WannaCry ini, berikut point-point penting yang bisa dipetik:

1. Backup data itu penting. Kantor atau institusi yang dalam rutinitasnya mengakses data-data digital yang penting seharusnya mulai membangun sitim backup data yang memadai. Serangan WannaCry di beberapa rumah sakit NHS (National Health Service) di London awalnya membuat mereka tidak dapat menerima pasien dan harus mengatur ulang rute layanan daruratnya. Namun pemulihan sistim dapat diselesaikan dalam waktu yang cepat karena penggunaan sitim database server yang terdistribusi.
2. Aktif selalu melakukan update sistem. Serangan WannaCry yang booming pada komputer berbasis Windows di bulan Mei 2017 ini, sebenarnya sudah diketahui dan sudah disiapkan update-nya oleh Microsoft sejak Maret 2017. Terkena serangan, pasti karena belum update!
3. Behentilah menggunakan sistim yang tidak update. Contohnya Windows XP. Microsoft sudah mnghentikan update terhadap sistem ini sejak 2014. Upgrade Windows Anda. Windows 7 mungkin juga akan segera berakhir. Upgrade ke Windows 8 atau 8.1 atau 10. Begitu juga untuk sistem operasi kelas Windows Server, gunakan yang terbaru dan yang asli untuk dapat menerima update resmi.
4. Sebisanya kuasai materi dengan cukup mendalam sebelum menuangkannya ke tulisan yang resmi. Secara pribadi saya menyayangkan munculnya beberapa press release lokal yang beredar tentang WannaCry ini yang tidak disusun atas pemahaman dan pengetahuan yang cukup tentang apa itu Ransomware dan WannaCry. Kekurangtahuan inilah mungkin yang secara cepat saja menghasilkan saran untuk 'jangan menghubungkan PC ke jaringan pada hari Senin'. Berbicara soal ransomware atau malware dan/atau serangannya, alangkah baiknya bila melakukan research secukupnya terlebih dahulu, atau berkonsultasi dengan tim IT-Operation untuk mendapatkan alternatif saran/solusi yang lebih baik.

Referensi Lain

• https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
• https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• https://blog.kaspersky.com/wannacry-ransomware/16518/
• http://www.mirror.co.uk/tech/what-wanna-decryptor-look-ransomware-10410236
• https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/
• https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)
• https://howtoremove.guide/wannacrypt-ransomware-virus-remove/
• https://www.netfort.com/blog/detect-wannacry-ransomware/
• http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry
• https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
• http://edition.cnn.com/2017/05/14/opinions/wannacrypt-attack-should-make-us-wanna-cry-about-vulnerability-urbelis/