Masih Tentang Ransomware Wannacry

Minggu ini dunia internet disibukan dengan munculnya ransomware wannacry. Ada banyak cerita seru tentang ransomware wannacry ini yang ingin saya ceritakan. Ransomware sebenarnya bukanlah sebuah ancaman baru. Bahkan secara teknis, ransomware termasuk jenis malware yang sederhana. Maksudnya untuk membuat malware ini tidak rumit. Namun begitu ransomware memiliki efek yang cukup mematikan. Karena susah untuk dicari obatnya. Sekali data kita terenkrip akan sangat susah untuk mengembalikannya (dekrip). Untuk membuat decryptornya cukup lama, tergantung dari algoritma enkripsi yang digunakan. Saat ini Ransomware yang paling banyak menimbulkan kerugian finansial adalah dari keluarga cryptolocker.

Eternal Blue

Ok kembali tentang ransomware wannacry ini. Yang membuat spesial ransomware ini adalah dia bisa menyebar melalui smbv1. Smb adalah sebuah service standar yang digunakan oleh windows untuk sharing file dan printer di jaringan. Jadi dengan memanfaatkan celah keamanan pada smbv1, bila suatu komputer telah terinfeksi, maka semua komputer yang terhubung di jaringan tersebut bisa kena.

Nah celah keamanan pada smbv1 ini sebelumnya sudah ada yang membuat exploitnya, yang disebut dengan eternal blue. Konon eternal blue ini dikembangkan oleh NSA, lembaga intelligen amerika serikat. Dokumen tentang eternal blue ini sebelumnya dibocorkan oleh kelompok hacker shadow broker di web wikileaks.

Tak lama kemudian microsoft pada bulan maret 2017, mengeluarkan patch ms 17-010 untuk menangani celah keamanan ini. Sayangnya ternyata banyak pengguna windows yang tidak mengupdate sistem operasinya. Sehingga mereka inilah yang kemudian menjadi target dari ransomware ini. Diantaranya adalah rumah sakit. Konon sektor kesehatan ini menjadi salah satu sasaran empuk ransomware. Karena memiliki data2 yang penting, namun tidak memiliki tim IT yang kuat. Di Indonesia saja yang pertama melaporkan menjadi korban adalah 2 rumah sakit ternama di jakarta.

Kill Switch

Selain itu yang menarik dari ransomware wannacry ini adalah ditemukannya fungsi kill switch. Fungsi ini semacam tombol shutdown. Jadi untuk menghentikan penyebaran malware.  Fitur ini bekerja dengan meminta malware untuk mengakses sebuah alamat tertentu. Jadi biasanya malware setelah menginfeksi komputer korban, mengakses sebuah server yang disebut server C&C (Command & control). Server C&C ini nantinya yang memberi perintah kepada malware. Hanya saja pada ransomware ini alamatnya adalah alamat palsu.Tujuannya sebagai mekanisme pertahanan dari malware.

Umumnya analis malware ketika melakukan analisa terhadap sebuah sampel malware, menggunakan Sandbox. Semacam simulator khusus yang disiapkan untuk menganalisa malware. Kemudian dipasang juga Fake DNS. Ini gunanya untuk melakukan simulasi trafik jaringan. Tujuannya untuk mengetahui alamat server C&C yang dihubungi malware. Nah pada kasus ransomware ini, penulis malware sengaja memerintahkan malware menghubungi sebuah alamat palsu. Tujuannya untuk mengetahui apakah malware sedang berada di komputer beneran atau di Sandbox.  Bila malware berada di komputer beneran, maka ketika malware menghubungi alamat server palsu tadi maka seharusnya tidak berhasil. Sementara bila malware berada di sandbox yang dipasang fake DNS, ketika malware menghubungi server palsu tadi maka koneksinya berhasil (mendapat reply dari server). Kemudian karena dia menyadari sedang dianalisa kemudian malware bunuh diri dengan fitur kill switch tadi.

Nah salah seorang analis malware ketika melakukan analisa malware menemukan alamat server ini pada source code malware. Kemudian dia bingung karena tidak berhasil menemukan alamat itu di Internet. Akhirnya dia daftarkanlah alamat server tadi di internet. Akibatnya hampir semua ransomware yang telah menginfeksi komputer korban dan terhubung ke internet mengaktifkan fungsi kill switch ini (bunuh diri). Dan akibatnya terjadi penurunan penyebaran ransomware ini. Namun begitu belum berarti ancaman ransomware ini sudah usai. Karena biasanya akan muncul varian (versi) lainnya dari malware ini.

Decryptor

Para analis malware sedang berlomba-lomba untuk membuat decryptor ransomware ini. Ada yang sudah menyatakan berhasil membuat decryptornya. Diantaranya bisa dilihat pada link berikut ini:

https://github.com/aguinet/wannakey

https://github.com/gentilkiwi/wanakiwi

Namun decryptor ini belum sepenuhnya berhasil. Karena dari beberapa kali pengujian, ada yang berhasil didecrypt ada juga yang gagal. Semoga kedepannya akan lebih baik. Saran saya, untuk menghadapi ransomware ini pencegahan lebih baik daripada mengobati. Biasakan selalu update komputer anda, gunakan antivirus, dan berhati-hati mengakses internet maupun membuka email yang tidak dikenal.

Semoga Bermanfaat!

tulisan lainnya tentang ransomware ini:

Ransomware wannacry

One thought on “Masih Tentang Ransomware Wannacry

  1. ada ransom di cip laptop mas, katanya terdeteksi di beberapa laptop msi ataupun toshiba juga mulai banyak.

Silahkan tuliskan tanggapan, kritik maupun saran