Tepat pada 14/05/2017 berita virus Ransomware atau WannaCry membuat heboh natizen dan kalangan IT di indonesia, virus ini menyerang melalui jaringan yang mengakibatkan jika satu PC terkena virus tersebut dan PC tersebut terhubung ke jaringan LAN makan satu jaringan LAN atau semua PC yang terhubung di satu LAN akan terinfeksi, virus ini akan mengunci (encrypt) semua file penting yang ada di PC anda dan untuk membuka file tersebut anda harus membeli License seharga $300.
berikut tampilan sekilas.
[ DIY Manual: Fighting WannaCry2.0 Ransomware ]
For non-Indonesian users, English guide can be found here:
https://www.facebook.com/ethrundr/posts/10209686267693982Mengingat informasi perihal Ransomware WannaCry v2.0 sedang viral dan banyak yang menjadi korbannya, maka ada sedikit informasi perihal preventif dan reaktifnya yang mungkin bisa dicoba.
Untuk preventif dengan cara menonaktifkan SMB (Server Messages Block) yang dicurigai menjadi exploit yang dimanfaatkan oleh Ransomware ini:
---
Bagi pengguna Win8 / Win8.1 / Win10:
1. Buka "Control Panel"
*) Windows 10 user, cukup klik kanan Start Icon dan pilih dari menu yang muncul.
2. Pilih menu "Programs and Features".
3. Pilih opsi "Turn Windows featurs on or off".
4. Uncheck "SMB 1.0/CIFS File Sharing Support".
*) Apabila "rewel" tidak mau dimatikan dengan cara ini, ketikkan ini di Windows PowerShell dengan Administrator privilege:
Set-SmbServerCo
nfiguration -EnableSMB1Prot
ocol $false -Force
5. Cek buat SMB 2.0 dan SMB 3.0 juga. Kalau tidak ditemukan coba run Shell script dibawah.
6. Restart.
-
Bagi penggun Win7 or earlier:
1. Buka Start Menu
2. Ketik ISE, pilih "Windows PowerShell ISE".
*) Atau dapat dicari di: All Programs -> Accessories -> Windows PowerShell -> Windows PowerShell ISE.
3. Ketik ini untuk SMBv1 (ketikkan/
copas satu persatu, lengkap dari awal sampai akhir):
> Set-ItemPropert
y -Path "HKLM:\SYSTEM\C
urrentControlSe
t\Services\Lanm
anServer\Parame
ters" SMB1 -Type DWORD -Value 0 -Force
> sc.exe config lanmanworkstati
on depend= bowser/
mrxsmb20/nsi
> sc.exe config mrxsmb10 start= disabled
4. Lalu untuk SMBv2 dan SMBv3 (ketikkan/
copas satu persatu, lengkap dari awal sampai akhir):
> Set-ItemPropert
y -Path "HKLM:\SYSTEM\C
urrentControlSe
t\Services\Lanm
anServer\Parame
ters" SMB2 -Type DWORD -Value 0 -Force
> sc.exe config lanmanworkstati
on depend= bowser/
mrxsmb10/nsi
> sc.exe config mrxsmb20 start= disabled
5. Apabila mendapatkan error "Access is denied", tutup PowerShell, lalu ulangi langkah kedua. Namun kali ini, saat menemukan programnya, klik kanan dan pilihlah "Run as administrator".
6. Restart.
-
Catatan:
1. Apabila mendapatkan error di bagian SMBv2 dan SMBv3, abaikan saja. Yang terpenting adalah SMBv1 sudah di nonaktifkan. Penonaktifan SMBv2 dan SMBv3 hanya langkah preventif tambahan.
--> Menonaktifkan SMBv2 dan SMBv3 kadang dapat mempengaruhi kinerja koneksi Internet kalian, baik dari delay yang lebih lama sampai dengan gagal koneksi sama sekali. Lakukan step ini hanya sebagai langkah preventif jika diperlukan.
2. Jangan lupa untuk mengaktifkan kembali SMB kalian apabila ransomware ini sudah dinyatakan sukses diamankan / ditanggulangi. Pada dasarnya, SMB ini tidak seharusnya dimatikan, namun untuk kasus khusus seperti ini dapat dimatikan sebagai langkah preventif.
3. Langkah untuk mengaktifkan kembali SMB (khususnya untuk pengguna Windows 7) dapat dicek di link ke Windows Support Center dibawah.
4. PENTING: ABAIKAN SEGALA USULAN UNTUK MELAKUKAN EDIT LANGSUNG DI REGISTRY EDITOR KECUALI KALIAN MENGETAHUI BETUL APA YANG KALIAN LAKUKAN DISANA! Salah edit salah satu entry di Registry Editor dapat berakibat fatal bagi OS kalian, maka berhati-hatilah
.
5. Bagi yang sudah melakukan tindakan preventif diatas, ada baiknya juga kalau kalian melakukan update system sesuai dengan panduan berikut:
https://www.reddit.com/r/pcmasterrace/comments/6atu62/psa_massive_ransomware_campaign_wcry_is_currently/6. Nyalakan juga Auto-Updater OS kalian sementara masa ini agar update terbaru dapat segera kalian peroleh kapanpun itu secara otomatis.
7. Untuk pengguna software bajakan, update kadang akan mementahkan activator kalian, dan memberikan notifikasi yang terkadang mengganggu perihal orisinalitas OS kalian. Biarkan notifikasi itu muncul terus dan jangan nyalakan activator kalian kembali untuk sementara waktu.
8. Untuk mengecek apakah SMB sudah sukses dimatikan, dapat menggunakan command berikut di Windows PowerShell. Apabila sudah dimatikan dengan benar, maka Shell akan menjawab dengan nilai "False".
> Get-SmbServerCo
nfiguration | Select EnableSMB1Proto
col, EnableSMB2Proto
col
---
Sebagai langkah pencegahan tambahan, dapat dilakukan pemblokiran data melalui port TCP di port 139, 445 dan 3389, serta mematikan eksekesi Macro di Ms. Office. Berikut adalah caranya. Harap dicatat bahwa mematikan port ini akan membuat fitur file sharing kalian tidak berfungsi secara normal.
-
Untuk memblokir port melalui Firewall:
1. Buka "Control Panel".
2. Klik "System and Security".
3. Klik "Windows Firewall".
4. Klik "Advanced Settings" pd menu bagian kiri.
5. Klik "Inbound Rules".
6. Lihat pada menu bagian kanan, lalu klik "New Rules".
7. Pilih/Klik "Port" dan klik "Next".
8. Pilih/Klik "TCP".
9. Pilih/Klik "Specific local ports:" isikan/ketik: 139, 445, 3389, lalu klik "Next".
10. Pilih/Klik "Block the connection" dan klik "Next".
11. Pastikan Pilihan "Domain", "Private" dan "Public" terpilih (checked), lalu klik "Next".
12. Isikan/ketik nama rule, misal: "Block Port Ransomware", lalu klik "Finish".
-
Untuk mematikan macro di Ms. Office:
1. Jalankan program Ms. Office manapun.
2. Klik menu "File" pilih "Options".
3. Klik "Trust Center".
4. Klik "Trust Center settings".
5. Klik "Macro settings".
6. Check/pilih "Disable all macros without notification", lalu klik "OK".
7. Lakukan hal yg sama pd program Ms. Office yg lain.
---
Bagi yang sudah terkena Ransomware tersebut, dapat dicoba langkah reaktif berikut. Berlaku untuk seluruh versi OS Windows:
1. Masuk ke Safe Mode
2. Klik Safe Boot -> minimal, klik OK dan Restart
3. Setelah direstart masuk ke:
Control Panel -> Folder Options -> Show Hidden File, lalu klik Apply.
*) Untuk pengguna Windows 8 keatas, tinggal klik tab "View" di Explorer dan cek box "Hidden Files".
4. Masuk ke:
msconfig -> Startup -> Disable Program yang mencurigakan atau tidak diketahui, klik OK, lalu klik "Exit without Restart".
5. Hapus File Berbahaya (File Virusnya Semua)
6. Periksa folder berikutnya untuk menemukan file yang mencurigakan:
%TEMP%
%APPDATA%
%ProgramData%
(Jika ada folder / File Wanna Cry hapus langsung)
7. Cek host file, karena itu bisa corrupt sama si Virus
Letak host:
C:\windows\Syst
em32\drivers\et
c
nanti ada file host lalu buka pake notepad
(Disitu jika ada situs yang ga diketahui, maka hapus langsung)
8. Masuk lagi ke msconfig terus disable Safe Mode klik ok lalu Restart
9. Setelah direstart, tidak ada "Decryption Tool" sekarang, tapi ente dapat merestore file dari backup atau mengembalikan folder yang terpisah
10. Sekarang ente bisa lihat versi lama dari file yang terenskripsi
11. Hapus File bernama:
Readme.txt.WCRY
License.txt.WCR
Y
History.txt.WCR
Y
!Please Read Me!.txt
!WannaDecryptor
!.exe
---
Diluar langkah-langkah
tersebut, dianjurkan juga bagi semuanya, terutama yang menggunakan OS Windows, untuk:
1. Secara berlaka melakukan backup terhadap informasi penting di komputer anda. Ini termasuk setting restore point di sistem anda.
2. Bagi yang masih mempergunakan OS Windows 7 atau sebelumnya, silahkan mempertimbangka
n untuk mengganti OS anda ke minimal Windows 8 atau yang lebih baru. Hal ini dikarenakan Windows 7 sudah habis masa berlaku Mainstream Supportnya. Juga, pertimbangkan untuk membeli resmi license codenya. Banyak kok yang menjual murah license code untuk Windows 8 keatas (range harga minimal Rp 50.000,- sudah ada yang jual, dan itu resmi).
3. Khusus untuk Windows 7, memang masih ada Extended Support hingga tahun 2020. Tapi untuk mendapatkannya,
kalian harus memiliki lisensi resmi OS Windows 7, dan berada di minimal Service Pack 1.
4. Bagi pengguna UNIX-based OS (Mac, Linux dan sebangsanya), untuk saat ini memang masih aman dan belum ada laporan infeksi, namun jangan menjadi terlalu berbesar kepala. Tetaplah berjaga-jaga terhadap kemungkinan serangan.
5. Senantiasa update Antivirus kalian ke versi yang terbaru. Juga, apabila ada dana berlebih, pertimbangkan untuk membeli lisensi (Advanced, Pro, Total, Full, dan istilah lainnya) dari Antivirus yang kalian pergunakan untuk proteksi maksimal. Memang terkadang harganya terasa mahal di bilangan ratusan ribu rupiah (range harga minimal biasa Rp 100.000,-/user untuk multiple user - harga single user biasanya Rp 200.000,- minimal), namun data kalian yang ada di perangkat kalian nilainya jauh diatas harga tersebut.
6. Perhatikan situs yang kalian kunjungi. Jangan pernah mendatangi situs tidak jelas hanya karena ada iklan atau header menarik. Itu bisa saja merupakan jebakan untuk kalian agar mendatangi situs tersebut yang ternyata berisi banyak virus maupun malware lainnya.
---
Sekian informasi ini saya sampaikan, semoga membantu. Terlampir gambar-gambar pendukung. Bila ada informasi tambahan, ralat atau kritik, harap disampaikan per komen, agar panduan ini dapat diperbaiki dan disempurnakan.
Stay smart and stay safe while surfing Internet, don't be next victim!