Mencegah Ransomware WannaCrypt / WannaCry Langkah Demi Langkah

UPDATE (15/05)

Bagi yang kesulitan mengunduh patch Microsoft lewat link resmi dari Microsoft (seperti post saya dibawah) bisa unduh lewat mirror google drive berikut : Mirror Patch MS17-010. Sesuaikan dengan platform dan sistem operasi yang dipakai. Jika masih gagal juga coba cari disini. Patch tersebut berlaku untuk Windows XP SP2 64bit, Windows XP SP3 32bit, Windows 7 SP1 32bit & 64bit (khusus SP1, Windows 7 biasa ga cocok), Windows 8 32bit & 64bit, Windows 8.1 32bit & 64bit. Windows 10 sementara ini tidak perlu patch, masih aman.

Microsoft merilis Security Patch khusus untuk menangani malware ini di Win XP, Win Server 2003 dan Win 8 : Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x646

Dikabarkan Tim IDCloudHost7 sudah berhasil mendapatkan password untuk mengembalikan / mendeksrip filenya dengan password : WNcry@2ol7
[note:password ini belum ditest oleh penulis]

Beberapa hari ini netizen dihebohkan dengan mewabahnya sebuah ransomware bernama WannaCrypt atau WannaCry yang disebut bisa membuat data korbannya menjadi terkunci atau bahasa kerennya terenkripsi dan baru bisa digunakan kembali kalau sudah membayar sejumlah tebusan ke si pembuat malware lewat mata uang Bitcoin. Dikutip dari portal Kominfo, Ransomware adalah sebuah jenis malicious software atau malware yang menyerang komputer korban dengan cara mengunci komputer korban atau meng-encrypt semua file yang ada sehingga tidak bisa diakses kembali.1

ransomware wannacrypt

Kominfo melalui ID-SIRTII sebenarnya sudah bergerak cepat untuk mengedukasi netizen terkait malware ini, namun edukasi yang diberikan sifatnya terlalu prosedural, misalnya seperti poster dibawah yang saya ambil dari siaran pers KOMINFO

Dari langkah-langkah yang diberikan beberapa sifatnya masih perlu penjabaran, kalau yang sudah melek IT mungkin sebentar kelar, tapi banyak netizen yang saya yakin belum sepenuhnya paham, ujung-ujungnya habis baca artikel tersebut harus googling kemana-mana, padahal kunci pertama yang harus dijaga adalah komputer jangan terhubung ke internet, nah loo…

Jadi postingan ini coba membantu penjabaran langkah tersebut biar lebih mudah untuk diimplementasikan, semoga bisa membantu rekan-rekan netizen biar gak sampai kejadian dipusingkan sama tebusan dari ransomware ini. Okey, kita langsung ke step pertama…

/// PERTAMA : Cabut kabel LAN atau matikan WiFi dan  pastikan komputer gak terhubung ke jaringan lokal apalagi internet

Ini karena malware WannaCrypt bisa mengeksploitasi protocol SMB v1, protokol yang dipakai untuk bertukar file antar sistem operasi dalam sebuah jaringan, kalau pengguna linux mungkin familier dengan Samba, nah SMB ini nama protokolnya, kalau Samba nama produknya. Cara cabut kabel LAN atau matiin WiFi gimana ? dooh…ya cabut aja kabelnya, kalo ga tau kabel LAN yang mana atau cara matiin WiFi gimana ya paling cepet cabut aja kabel listrik routernya,beres 😀

///KEDUA : Pindahkan data ke OS non Windows atau backup ke device lain

WannaCrypt sampai hari ini memang hanya menyerang Windows, jadi OS lain kayak linux ataupun mac os masih bisa bernafas lega dan bisa dijadikan pilihan untuk induk semang data kita, sementara sampai serangan malware ini mereda

///KETIGA : Update Security Patch Windows MS-17-010

Satu yang sering jadi masalah adalah banyak netizen yang mematikan auto update dengan alasan yang beragam, mulai dari males nunggu update (nunggu update pas shutdown atau startup suka bikin dongkol) sampai sayang kuota internet, padahal update ini penting banget, apalagi yang dikategorikan Critical Update kayak yang lagi kita bahas ini. Nah MS-17-010 ini sebenarnya sudah keluar sejak Maret 2017 dan oleh ID-SIRTII kita diarahkan ke halaman https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, kalau ada yang udah nyoba buka dijamin bingung mana yang harus didownload, belum lagi saran agar file didownload kemudia diinstal secara offline ke komputer yang terserang malware, bisa lewat flashdisk atau media penyimpanan lainnya. Nah, tambah bingung kan. So disini saya coba kasih beberapa link download langsung ke filenya, tinggal disesuaikan dengan sistem operasi yang dipakai dan platformnya (32bit atau 64bit):2

Windows 7 SP1 and Windows Server 2008 R2 SP1

KB4012212 — March, 2017 Security Only Quality Update
KB4012215 — March 2017 Security Monthly Quality Rollup

Windows 8.1 and Windows Server 2012 R2

KB4012213 — March, 2017 Security Only Quality Update
KB4012216 — March, 2017 Security Monthly Quality Rollup

Note: Internet Explorer security updates here.

Windows 10
KB4013198 — Cumulative Update for Windows 10 Version 1511
KB4013429 — Cumulative Update for Windows 10 Version 1607
KB4012606 — Cumulative Update for other Version of Windows 10
Cara lihat versi Windows 10 dengan cara buka command prompt (cmd) lalu ketikan winver kemudian enter.
Download file yang dibutuhkan saja, pindahkan ke flashdisk kemudian instal di komputer yang lain.

 

///KEEMPAT : Sedapat mungkin jangan menggunakan fungsi Macro

Atau lebih baik non aktifkan dulu sementara waktu. Dikutip dari Office.com, Macro merupakan sekumpulan tugas yang dapat diotomasi3, tujuannya salah satunya adalah sering dimanfaatkan pengguna MS Office untuk mempercepat pekerjaan, masalahnya macro isinya script-script yang terkadang isinya bisa dieksploitasi, misalnya oleh malware ini, jadi amannya disable dl sajalah, sementara sampai mereda. Caranya :

Disable Macro di Office

  1. Buka salah satu aplikasi MS Office (Word, Excel, PowerPoint, dll)
  2. Pada logo Office atau Tab File pilih Options
  3. Kemudian pilih Trust Center lalu Trust Center Settings
  4. Pilih Disable all macros without notification kemudian OK
  5. Lakukan hal yang sama pada seluruh aplikasi MS Office yang lain

Disable Windows Script Host (WSH)

  1. Buka registry editor (regedit)
  2. Buka bagian : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
  3. Buat DWORD baru dengan nama Enabled
  4. Isikan value-nya dengan angka 0
  5. Tes apakah sudah terdisable, ke menu run (WIN+R) kemudian ketik wscript
  6. Kalau yang muncul notifikasi “Windows Script Host access is disabled on this machine. Contact your administrator for details.” berarti sukses men-disable WSH

///KELIMA : Nonaktifkan Fungsi SMB v1

Pada artikel diatas sempat dijelaskan bahwa SMB digunakan untuk bertukar file dalam jaringan tapi Microsoft sendiri mengakui bahwa SMB v1 punya celah keamanan fatal yang membuatnya rentan dieksploitasi4, tapi tidak untuk penerusnya SMB v2 dan v3. Maka langkah paling aman adalah membuang SMB v1 untuk Windows 8.1 dan 10 atau menonaktifkannya di Windows 8 kebawah. Caranya :

Menonaktifkan SMB v1
  1. Buka command prompt (cmd) dengan akses administrator
  2. Paste-kan code dibawah kemudian enter

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Membuang fitur SMB v1
  1. Melalui Windows PowerShell, klik kanan start menu lalu pilih Windows PowerShell (Admin)
  2. Paste-kan code dibawah kemudian enter

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Atau dapat juga melalui Programs and Features
  1. Klik kanan start menu lalu pilih Programs and Features
  2. Pada menu sebelah kiri pilih Turn Windows features on or off
  3. Scroll kebawah sampai menemukan “SMB 1.0/CIFS File Sharing Support”
  4. Hilangkan centang pada opsi tesebut

Setelah melakukan langkah kelima akhiri dengan RESTART komputer anda.

///KEENAM : Tambahkan Port 139/445 dan 3389 dalam daftar blocklist Firewall

Setiap koneksi jaringan membutuhkan minimal sebuah port number untuk bisa berkomunikasi, contohnya aktifitas browsing lewat protokol HTTP yang secara default lewat port 80. Begitu pula SMB yang secara default diberi jatah port 139 dan 445, port 139 sendiri sebenarnya port untuk NetBIOS tapi sering pula digunakan untuk SMB. Sedangkan port 3389 digunakan untuk protokol RDP dimanfaatkan pada Remote Desktop Connection. Ketiga port ini ditutup karena diketahui dimanfaatkan malware untuk jalur komunikasinya. Cara menutupnya bisa melalui firewall institusi, untuk hal ini Network Administrator di masing-masing kantor yang harus bekerja.

Tapi bukan berarti kita tidak bisa memberikan proteksi lebih, Windows firewall bisa disetting untuk memblok port-port ini, caranya :

*rekomendasi penulis gunakan cara kedua karena lebih praktis

#Cara pertama

  1. Buka windows firewall, bisa search di start menu atau lewat control panel
  2. Di bagian kiri ada “Inbound Rules”, klik opsi tersebut
  3. Di bagian kanan akan muncul opsi baru “New Rules”, pilih opsi tersebut
  4. Pada jendela baru yang muncul pilih “Port” kemudian Next
  5. Pada specific local ports isikan : 139, 445, 3389 kemudian Next
  6. Pilih “Block The Connection” kemudian Next
  7. Centang ketiga opsi yang ada, Domain, Private dan Public, tujuannya membatasi ruang gerak komunikasi port tersebut di semua lingkup jaringan
  8. Beri nama, misal “Inbound SMB” kemudian Finish
  9. Sekarang komunikasi Inbound atau kedalam komputer melalui port tersebut sudah diblokir, lbih baik lagi bila opsi Outbound Rules juga dilakukan hal yang sama mulai step 3-7 kemudian di step 8 beri nama “Outbound SMB”

#Cara kedua

Buka command prompt (cmd) lalu ketikan perintah dibawah satu per satu :

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport="135,445,3389" name="Inbound SMB"
netsh advfirewall firewall add rule dir=out action=block protocol=TCP remoteport="135,445,3389" name="Outbound SMB"

Outbound SMB

Rules Outbound SMB Dilihat dari Propertiesnya

///KETUJUH : Hidupkan Windows Update dan Update Anti Virus

Walaupun terkadang menjengkelkan tapi fitur ini bisa menyelamatkan banyak hal yang sebenarnya bisa ditangani oleh sistem itu sendiri, terutama dari sisi keamanan sistem operasi. Jadi sangat sangat sangat disarankan untuk selalu menghidupkan Automatic Update, apapun versi windowsmu. Selain itu anti virus juga penting untuk selalu update, Windows Defender misalnya yang telah mengeluarkan signature baru untuk malware ini, yaitu Ransom:Win32/WannaCrypt, anti virus lain kemungkinan besar juga sudah melakukan pembaruan signaturenya (WORM_WCRY.A (Trend Micro), Trojan.Ransom.WannaCryptor.H (BitDefender),Trojan/Win32.WannaCryptor (AhnLab))8, jadi segera update antivirus anda.

Demikian beberapa langkah yang saya coba paparkan, semoga tidak makin bingung. Sekedar info, saat artikel ini dibuat ada berita terbaru bahwa seorang pakar keamanan di Inggris dikabarkan sudah berhasil menjinakkan si WannaCrypt, tapi detil tentang caranya masih belum dijelaskan dengan gamblang5.

Sumber :

1 https://www.kominfo.go.id/content/all/siaran_pers
2 http://www.catalog.update.microsoft.com
3 https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12
 4 https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
5 https://inet.detik.com/security/d-3500295/wannacrypt-akhirnya-berhasil-dijinakkan-pemuda-22-tahun
6 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
7 https://idcloudhost.com/tips-cara-mengatasi-malware-ransomware-wannacrypt/#
8 https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

Read 10 comments

  1. min, mo nanya cara disable smb v1 dan block port 445,139,3389 di windows XP gimana ya? soalnya cara di atas kan utk versi windows yg baru, soalnya menu di win xp laen dgn yg diterangkan di atas,jd bingung ..mohon pencerahannya,thx

Leave a Reply