PENTING : **SEDEKAH ROMBONGAN||RUMAH ZAKAT || ACT || Kajian Hadis**
DUITBUX|*|Program PTC nyari duit di internet|

Sunday, May 14, 2017

Ransomware Wannacry

Kemarin, Sabtu 13 Mei 2017 Kementerian Komunikasi dan Informatika Republik Indonesia mengeluarkan SIARAN PERS KEMENTERIAN KOMUNIKASI DAN INFORMATIKA NO. 55/HM/KOMINFO/05/2017 Tentang Himbauan Agar Segera Melakukan Tindakan Pencegahan Terhadap Ancaman Malware Khususnya Ransomware Jenis WannaCRY. (link : https://www.kominfo.go.id/content/detail/9636/siaran-pers-no-55hmkominfo052017-tentang-himbauan-agar-segera-melakukan-tindakan-pencegahan-terhadap-ancaman-malware-khususnya-ransomware-jenis-wannacry/0/siaran_pers).

Ransomware adalah sebuah jenis malicious software atau malware yang menyerang komputer korban dengan cara mengunci komputer korban atau meng-encrypt semua file yang ada sehingga tidak bisa diakses kembali. Tahun ini sebuah jenis ransomware baru telah muncul dan diperkirakan bisa memakan banyak korban. Ransomware baru ini disebut Wannacry. Wannacry ransomware mengincar PC berbasis windows yang memiliki kelemahan terkait fungsi SMB (Server Message Block) yang dijalankan di komputer tersebut. Saat ini diduga serangan Wannacry sudah memakan banyak korban ke berbagai negara. Oleh karena itu penting untuk melakukan serangkaian tindakan pencegahan dan juga penanganan apabila terjadi insiden.
Ransomware Wannacry menginfeksi sebuah computer dengan meng-enkripsi seluruh file yang ada di komputer tersebut dan dengan menggunakan kelemahan yang ada pada layanan SMB bisa melakukan eksekusi perintah lalu menyebar ke computer windows lain pada jaringan yang sama. Semua komputer yang tersambung ke internet yang masih memiliki kelemahan ini apalagi komputer yang berada pada jaringan yang sama memiliki potensi terinfeksi terhadap ancaman Wannacry.

Lakukan beberapa langkah berikut untuk tindakan pencegahan dari terinfeksi malware ransomare jenis wannacry :
  1. Cabut Kabel LAN/Wifi
  2. Lakukan Backup Data
  3. Update Anti-Virus
  4. Update security pada windows anda dengan install Patch MS17-010 yang dikeluarkan oleh microsoct. Lihat : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  5. Jangan mengaktifkan fungsi macros
  6. Non aktifkan fungsi SMB v1
  7. Block 139/445 & 3389 Ports
  8. Ulangi, selalu backup file file penting di komputer anda dan di simpan backupnya ditempat lain
Untuk menonaktifkan fungsi SMBv1 (silahkan ikuti tautan berikut How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server": https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 ).

Adapun beberapa langkah tambahan yang dapat dilakukan untuk mengatasi Ransomware Wannacry adalah:
  1. Melakukan pemblokiran pada port 139/445 & 3389
  2. Mencadangkan data secara rutin, mencadangkan data secara rutin akan membuat data lebih aman untuk disimpan dan jika terjadi suatu bencana maka kan mudah untuk mengembalikannya.
  3. Menampilkan ekstensi file yang tersembunyi, terkadang tanpa kita sadari bahwa file tersembunyi (hidden file) merupakan malware yang mungkin akan menyerang komputer kita.
  4. Melakukan filter file .exe yang dikirimkan melalui email, ekstensi exe merupakan file installasi untuk aplikasi yang ada di microsoft maka bisa jadi file tersebut adalah malware.
  5. Untuk sementara lakukan pemblokiran atau tidak mengakses file atau tautan berekstensi zip yang terpassword
  6. Gunakan Cryptolocker Prevention Kit, ini merupakan salah satu tools yang memungkinkan untuk mencegah ransomware menjalankan aksinya
  7. Nonaktifkan Remote Desktop Protocol yang secara otomatis menjadi service di sistem operasi kalian
  8. Silakan update software terbaru di komputer Anda.
  9. Gunakan tools antimalware dan segera update databasenya
  10. Segera matikan koneksi Anda baik dari Wifi maupun kabel jika mengenali adanya ransomware
  11. Gunakan system restore untuk mengembalikan file Anda jika ternyata terjangkit ransomware
Untuk saat ini belum ada cara untuk mengatasi komputer yang telah terkena malware ini, tidakan paling efektif adalah dengan cara pencegahan penyebaran malware tersebut.

Dari situs securingtomorrow.mcafee.com:
Ransomware is writing itself into a random character folder in the ‘ProgramData folder with the file name of “tasksche.exe’ or in C:\Windows\ folder with the file-name ‘mssecsvc.exe’ and ‘tasksche.exe’.

Examples:

C:\ProgramData\lygekvkj256\tasksche.exe
C:\ProgramData\pepauehfflzjjtl340\tasksche.exe
C:/ProgramData/utehtftufqpkr106/tasksche.exe
c:\programdata\yeznwdibwunjq522\tasksche.exe
C:/ProgramData/uvlozcijuhd698/tasksche.exe
C:/ProgramData/pjnkzipwuf715/tasksche.exe
C:/ProgramData/qjrtialad472/tasksche.exe
c:\programdata\cpmliyxlejnh908\tasksche.exe

Ransomware is granting full access to all files by using the command:
Icacls . /grant Everyone:F /T /C /Q

IP-Addresses:

  • 197.231.221.221:9001
  • 128.31.0.39:9191
  • 149.202.160.69:9001
  • 46.101.166.19:9090
  • 91.121.65.179:9001
  • 2.3.69.209:9001
  • 146.0.32.144:9001
  • 50.7.161.218:9001
  • 217.79.179.177:9001
  • 213.61.66.116:9003
  • 212.47.232.237:9001
  • 81.30.158.223:9001
  • 79.172.193.32:443
  • 38.229.72.16:443

Domains:

  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
  • Rphjmrpwmfv6v2e[dot]onion
  • Gx7ekbenv2riucmf[dot]onion
  • 57g7spgrzlojinas[dot]onion
  • xxlvbrloxvriy2c5[dot]onion
  • 76jdd2ir2embyv47[dot]onion
  • cwwnhwhlz52maqm7[dot]onion

File Names:

  • @Please_Read_Me@.txt
  • @WanaDecryptor@.exe
  • @WanaDecryptor@.exe.lnk
  • Please Read Me!.txt (Older variant)
  • C:\WINDOWS\tasksche.exe
  • C:\WINDOWS\qeriuwjhrf
  • 131181494299235.bat
  • 176641494574290.bat
  • 217201494590800.bat
  • [0-9]{15}.bat #regex
  • !WannaDecryptor!.exe.lnk
  • 00000000.pky
  • 00000000.eky
  • 00000000.res
  • C:\WINDOWS\system32\taskdl.exe

Bitcoin Wallets

  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Dari blogs.technet.microsoft.com:
WannaCrypt ransomware
The ransomware component is a dropper that contains a password-protected archive in its resource section. The document encryption routine and the files in the .zip archivecontain support tools, a decryption tool, and the ransom message. In the samples we analyzed, the password for the .zip archive is “WNcry@2ol7”.
When run, WannaCrypt creates the following registry keys:
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
  • HKLM\SOFTWARE\WanaCrypt0r\\wd = “
It changes the wallpaper to a ransom message by modifying the following registry key:
  • HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
It creates the following files in the malware’s working directory:
  • 00000000.eky
  • 00000000.pky
  • 00000000.res
  • 274901494632976.bat
  • @Please_Read_Me@.txt
  • @WanaDecryptor@.bmp
  • @WanaDecryptor@.exe
  • b.wnry
  • c.wnry
  • f.wnry
  • m.vbs
  • msg\m_bulgarian.wnry
  • msg\m_chinese (simplified).wnry
  • msg\m_chinese (traditional).wnry
  • msg\m_croatian.wnry
  • msg\m_czech.wnry
  • msg\m_danish.wnry
  • msg\m_dutch.wnry
  • msg\m_english.wnry
  • msg\m_filipino.wnry
  • msg\m_finnish.wnry
  • msg\m_french.wnry
  • msg\m_german.wnry
  • msg\m_greek.wnry
  • msg\m_indonesian.wnry
  • msg\m_italian.wnry
  • msg\m_japanese.wnry
  • msg\m_korean.wnry
  • msg\m_latvian.wnry
  • msg\m_norwegian.wnry
  • msg\m_polish.wnry
  • msg\m_portuguese.wnry
  • msg\m_romanian.wnry
  • msg\m_russian.wnry
  • msg\m_slovak.wnry
  • msg\m_spanish.wnry
  • msg\m_swedish.wnry
  • msg\m_turkish.wnry
  • msg\m_vietnamese.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • TaskData\Tor\libeay32.dll
  • TaskData\Tor\libevent-2-0-5.dll
  • TaskData\Tor\libevent_core-2-0-5.dll
  • TaskData\Tor\libevent_extra-2-0-5.dll
  • TaskData\Tor\libgcc_s_sjlj-1.dll
  • TaskData\Tor\libssp-0.dll
  • TaskData\Tor\ssleay32.dll
  • TaskData\Tor\taskhsvc.exe
  • TaskData\Tor\tor.exe
  • TaskData\Tor\zlib1.dll
  • taskdl.exe
  • taskse.exe
  • u.wnry
WannaCrypt may also create the following files:
  • %SystemRoot%\tasksche.exe
  • %SystemDrive%\intel\\tasksche.exe
  • %ProgramData%\\tasksche.exe
It may create a randomly named service that has the following associated ImagePath: “cmd.exe /c “\tasksche.exe””
Then it searches the whole computer for any file with any of the following file name extensions: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

WannaCrypt encrypts all files it finds and renames them by appending “.WNCRY” to the file name. For example, if a file is named “picture.jpg”, the ransomware encrypts and renames to “picture.jpg.WNCRY”.

This ransomware also creates the file “@Please_Read_Me@.txt” in every folder where files are encrypted. The file contains the same ransom message shown in the replaced wallpaper image (screenshot below).

After completing the encryption process, the malware deletes the volume shadow copies by running the following command:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet







 *sumber :
- https://www.kominfo.go.id/content/detail/9636/siaran-pers-no-55hmkominfo052017-tentang-himbauan-agar-segera-melakukan-tindakan-pencegahan-terhadap-ancaman-malware-khususnya-ransomware-jenis-wannacry/0/siaran_pers

- http://www.lemsaneg.go.id/index.php/bahaya-ransomware-wannacry-dan-cara-pencegahannya/

- https://securingtomorrow.mcafee.com/business/analysis-wannacry-ransomware-outbreak/

- https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

- https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

- https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

- https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

Random Posts



0 comments:

Blog Archive