Ransomware WannaCry, variant terbaru 2017 dari keluarga Ransomware – Bagian 2

Posted in internet, Ransomware on May 17, 2017

Halaman ini adalah bagian 2 dari artikel Ransomware WannaCry bagian 1.

Jika sempat kita baca berita/artikel di internet tentang password WannaCryWNcry@2ol7“, dan berharap password tersebut bisa mengembalikan file yang sudah terenkripsi, itu hal yang lain. Password “WNcry@2ol7” adalah password yang digunakan untuk memberi password pada file Setup WannaCry, yang mana file Setup ini dibuat menggunakan SFX ZIP executable, bukan installer seperti Inno Setup atau NSIS Setup.

Komposisi Setup WannaCry

File dengan nama “c.cry”, sebagai file konfigurasi tertentu yang digunakan oleh WannaCry. Di sana terlihat ada lima alamat web dengan ekstesi “.onion”.

File dengan nama “287661494767988.bat” dan “m.vbs”, bertugas membuat sebuah shortcut yang jika diklik maka akan menjalankan proses induk virus yang bernama “@WanaDecryptor@.exe”.

File dengan nama “u.wnry” yang sebenarnya adalah file “@WanaDecryptor@.exe” juga, namun dengan ekstensi berbeda.

File dengan nama “trzBBE.tmp” dan “trzF998.tmp” merupakan proses anakan dari “@WanaDecryptor@.exe”.

File dengan nama “00000000.eky” dan “00000000.pky” adalah Key AES untuk melakukan enkripsi (encrypt) maupun dekrpsi (decrypt) file.

File dengan nama “00000000.res” sebagai resource proses.

File yang ada di dalam folder “msg” adalah pesan dari pembuat virus WannaCry menggunakan file Word (.doc) dengan menggunakan beberapa bahasa.

Contoh pesan dari WannaCry dalam bahasa Indonesia dari file “/msg/m_indonesian.wnry”

 

Paket lainnya.

File dengan nama “s.wnry” berisi paket TOR, mungkin ini adalah TOR portable yang digunakan untuk membuka portal ke sarang WannaCry, dengan alamat server http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ yang berisi tulisan “sinkhole.tech – where the bots party hard and the researchers harder…”. #SinkHole #Conspiracy

Namun sayangnya, nama domain tersebut didaftarkan oleh seorang malware analis, yang bukannya untuk mengupdate WannaCry, justru malah menonaktifkan perkembangan WannaCry via server terpusat. Disini semakin terlihat ‘tingkatan skill’ si pembuat WannaCry ini, selain file-file terpisah seperti “.bat” dan “.vbs” yang seharusnya bisa dibuat langsung dari program induk. Tapi tetap keberuntungan berpihak padanya atas eksploit (exploit) SMB yang diterapkannya.

 

Aksi Virus

Virus (malware) WannaCry ini diklaim bisa menyebar melalui LAN, baik itu menggunakan kabel LAN, maupun tanpa kabel (wireless), yang mana WannaCry ini masuk melalui port yang rentan terhadap serangan atau vulnerable, port Server Message Block (SMB) ini lah yang di-eksploit[asi] oleh WannaCry, sehingga, meskipun user dalam satu LAN yang sama tidak melakukan install program, namun jika salah satu user di LAN yang sama sudah terkena WannaCry Ransomware, maka user lain pun bisa ikut terkena WannaCry Ransomware juga jika pada komputernya ditemukan celah pada portnya. Seperti halnya vulnerable pada Server IIS 5/6 milik Windows, yakni WevDAV vulnerable, yang bisa diekploitasi oleh Hacker, misal mengupload file, padahal tidak ada script untuk upload file di server tersebut. Masuk akal, bukan?

Adapun port yang digunakan WannaCry ini adalah “TCP Port 445”, maka setelah kita tutup port tersebut, kita bisa lebih lega dari ancaman terjangkit dari WannaCry yang menyebar seperti angin ini, yang bisa masuk melalui celah lubang jarum. Hanya kiasan.

Sayangnya, jika kita tutup port tersebut, resikonya bagi komputer yang ‘seharusnya’ terhubung ke jaringan LAN, misal melakukan Folder/File Sharing untuk kegiatan penerimaan siswa/mahasiswa baru; mengisi KRS mandiri oleh mahasiswa, menjadi terhambat aktifitasnya. Bagaimana bisa beraktifitas serah-terima data jika pintu data (port)nya ditutup, bukan?

Well, pilihan ada di tangan user.

Smadav sudah mengadopsi teknik ‘buka-tutup’ port ini atau ‘disable-enable’ (on-off) terhadap fitur berbagi data SMB agar user bisa membuka dan menutup atau mematikan dan menyalakan dengan mudah sesuai keperluan user, tanpa merepotkan user mengatur pada pengaturan tertentu di komputernya.

SMBOnOff

Antisipasi Ransomware WannaCry

Silakan update Smadav Anda ke versi “Rev 11.4” untuk menikmati fitur tersebut, serta pencegahan dari terkena WannaCry yang databasenya sudah diupdate Smadav untuk mampu mendeteksi file WannaCry / WannaCrypt.

Download Smadav di: http://smadav.net

Pelayanan Proteksi Ekstra untuk Pelanggan Smadav atas WannaCry

Bagi yang sudah menginstall Smadav di komputernya, baik itu versi Free maupun versi Pro, sebagai bentuk kepedulian Smadav terhadap user atas ancaman serangan WannaCry ini, Smadav secara otomatis melakukan update jika komputer user terkoneksi ke internet, tanpa perlu mendownload manual.

Meskipun belum ditemukan cara untuk mengembalikan file yang telah dienkrip, paling tidak, “Mencegah lebih baik dari pada mengobati”.

Untuk kronologis bagaimana WannaCry bisa menjangkiti via LAN, dapat Anda saksikan video berikut, WannaCry Ransomware Using Windows SMB Vulnerability: https://www.youtube.com/watch?v=4MMeSneDBNs&feature=youtu.be

 

Terima kasih atas kepercayaan Anda yang telah menggunakan Smadav.

Salam bebas virus.

 

23 Responses to “Ransomware WannaCry, variant terbaru 2017 dari keluarga Ransomware – Bagian 2”


  1. sugeng says:

    maaf mas, saya msh blum jelas fungsi dari tcp port 445 apa saja?

     
    • RyanBeKaBe says:

      Fungsi TCP Port 445 biasanya digunakan untuk jaringan LAN, misal berbagi printer, berbagi file dalam satu kantor dalam jaringan LAN, WiFi kantor / kampus.
      Pokoknya berada pada satu jaringan lokal.

       
  2. Rahadian says:

    Saya sdh terkena ransomware..tpi data belum terenkripsi..mgkn krn sdh saya blok portnya..tpi ada folder2 ransomware yg kalau dihapus muncul kembali..smadav malah ga bsa mendereksinya sebagai virus..ada solusi utk menghapusnya?

     
    • RyanBeKaBe says:

      Tidak ada hubungannya antara terenkripsi dan blok port.
      Jika sudah terkena Ransomware, seharusnya akan berdampak ada file yang terenkripsi.
      Kecuali yang Anda dapati bukan virus Ransomware.

      Silakan Anda konsultasikan di: http://konfirmasi.com

       
  3. yuki says:

    Setelah instal smadav kenapa saya tidak bisa lauch driver pack smua seri?walaupun smadav sudah di uninstal tetap tidak bisa terbuka, namun sebelum terinstal smadav lancar2 saja..

     
  4. Bayaya44 says:

    Terima kasih atas informasinya sangat berguna.

    Untuk konfirmasi saja, saya sudah membaca blog malware analys yang meregister domain si virusnya itu. Di blognya beliau ini dia bilang bahwa dia telah berhasil menghentikan penyebaran virus lebih lanjut.

    Di artikel anda, anda bilang ini adalah hal yang kurang bagus. Bisa tolong dijelaskan lebih dalam mengenai hal itu?

    Update terbarunya sangat membantu dan bikin hati tenang.

     
    • RyanBeKaBe says:

      Terima kasih atas konfirmasinya.
      Silakan Anda simak kembali maksud dari tulisan artikel berikut, “Namun sayangnya, nama domain tersebut didaftarkan oleh seorang malware analis, yang bukannya untuk mengupdate WannaCry, justru malah menonaktifkan perkembangan WannaCry via server terpusat.”
      Sayangnya disini adalah kesialan bagi si pembuat virusnya.

      Terima kasih telah meluangkan waktu untuk memberi feedback pada artikel ini.

       
  5. Bimbim says:

    Untuk Xp Service Pack 2 kok gak ada pemberitahuan untuk restart saat checklist di hilangkan , dan pada saat saya restart smadav otomatis centang kembali.tidak ada pemberitahuan bahwa saat ini smb aktif atau tidak aktif.

     
    • RyanBeKaBe says:

      Bantu kami mengindentifikasi masalah Anda dengan memberi tahu versi/revisi berapa Smadav yang Anda gunakan?
      Misal rev. 11.4.6, atau rev. 11.4.5, pada header Smadav.

       
  6. Naufal says:

    kan SMADAV sudah mengadopsi enable-disable port cara menggunakanya bagimana ya di SMADAV nya?

     
    • RyanBeKaBe says:

      Menggunakannya dengan mengklik ceklis yang ada di tampilan jendela Scanner saat ingin menscan file/folder, di bagian bawah, gambar icon Folder Sharing.

       
  7. SUGIYADI says:

    Selamat sore smadav pro, di belakangan ini KENAPA slalu muncul virus2 terus yang selalu harus mengnyecan tiap hari, APAKAH ada solusi lain ???? terima kasih semoga smadav pro bisa mendetek lebih jauh lagi dan memberi inovasi….. tetap semangat !!!!

     
    • RyanBeKaBe says:

      Selamat malam Pak Sugi.
      Tolong bantu kami mengindentifikasi virus tersebut dengan menyebutkan nama virus seperti yang tampil di layar komputer.
      Atau kalau bisa, tolong lampirkan gambar/screenshotnya ya, Pak.

       


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Sun, 08:09 pm

    Esau Marote: um aplicativo bem melhor para proteger o meu PC

    edwin mwananyambe: update

    berli: indonesia punyaaa

    dhayanithi: dhayanithi

    lateef: Anti virus needed

    Leta Rafael Levis: Smadav adalah antivirus yang pakai selama ini, terbukti ungul

    luis: luis

    Mostafa Mar'ei: how can I use SAMADAV to remove shortcut

    goitom: good

    abdurahim: anti virus-need

    » Tuliskan komentar Anda :