Pada tanggal 12 April 2017, muncul informasi tentang pesatnya penyebaran virus ransomware bernama WannaCry di seluruh dunia, yang dapat diterjemahkan sebagai “Saya ingin menangis.” Pengguna memiliki pertanyaan tentang memperbarui Windows terhadap virus WannaCry.

Virus di layar komputer terlihat seperti ini:

Virus WannaCry jahat yang mengenkripsi segalanya

Virus mengenkripsi semua file di komputer dan meminta tebusan ke dompet Bitcoin sejumlah $300 atau $600 untuk mendekripsi komputer. Komputer di 150 negara di seluruh dunia terinfeksi, dan Rusia menjadi negara yang paling terkena dampaknya.

Megafon, Kereta Api Rusia, Kementerian Dalam Negeri, Kementerian Kesehatan, dan perusahaan lain sangat menghadapi virus ini. Di antara korbannya adalah pengguna internet biasa.

Hampir semua orang memiliki kondisi yang sama sebelum adanya virus. Perbedaannya, mungkin, adalah bahwa di perusahaan, virus menyebar ke seluruh jaringan lokal dalam organisasi dan langsung menginfeksi komputer sebanyak mungkin.

Virus WannaCry mengenkripsi file di komputer yang menggunakan Windows. Microsoft merilis pembaruan MS17-010 untuk berbagai versi Windows XP, Vista, 7, 8, 10 pada bulan Maret 2017.

Ternyata mereka yang Windowsnya terupdate secara otomatis tidak berisiko terkena virus, karena mereka menerima update tepat waktu dan mampu menghindarinya. Saya tidak bermaksud mengatakan bahwa hal ini memang benar adanya.

Beras. 3. Pesan saat menginstal pembaruan KB4012212

Pembaruan KB4012212 memerlukan reboot laptop setelah instalasi, yang sebenarnya tidak saya sukai, karena tidak diketahui bagaimana ini akan berakhir, tetapi ke mana pengguna harus pergi? Namun, reboot berjalan dengan baik. Artinya, kita hidup dengan damai hingga serangan virus berikutnya terjadi, dan sayangnya, tidak ada keraguan bahwa serangan serupa akan terjadi.

Bagaimanapun, penting untuk memiliki tempat untuk memulihkan sistem operasi dan file Anda.

Pembaruan Windows 8 dari WannaCry

Untuk laptop dengan lisensi Windows 8, pembaruan KB 4012598 diinstal, karena

Malware ransomware baru WannaCry (yang juga memiliki sejumlah nama lain - WannaCry Decryptor, WannaCrypt, WCry dan WanaCrypt0r 2.0) membuat dirinya dikenal dunia pada 12 Mei 2017, ketika file di komputer di beberapa institusi kesehatan di Inggris dienkripsi . Ternyata, perusahaan-perusahaan di banyak negara juga mengalami situasi yang sama, dan Rusia, Ukraina, India, dan Taiwan adalah pihak yang paling menderita. Menurut Kaspersky Lab, pada hari pertama serangan saja, virus tersebut terdeteksi di 74 negara.

Mengapa WannaCry berbahaya? Virus mengenkripsi berbagai jenis file (menggunakan ekstensi .WCRY, membuat file benar-benar tidak dapat dibaca) dan kemudian meminta uang tebusan sebesar $600 untuk dekripsi. Untuk mempercepat prosedur pengiriman uang, pengguna diintimidasi oleh kenyataan bahwa dalam tiga hari jumlah tebusan akan meningkat, dan setelah tujuh hari, file tidak lagi dapat didekripsi.

Komputer yang menjalankan sistem operasi Windows berisiko terinfeksi virus ransomware WannaCry. Jika Anda menggunakan Windows versi berlisensi dan memperbarui sistem Anda secara rutin, Anda tidak perlu khawatir virus akan memasuki sistem Anda dengan cara ini.

Pengguna MacOS, ChromeOS dan Linux, serta sistem operasi seluler iOS dan Android, tidak perlu takut sama sekali dengan serangan WannaCry.

Apa yang harus dilakukan jika Anda menjadi korban WannaCry?

Badan Kejahatan Nasional (NCA) Inggris merekomendasikan agar usaha kecil yang menjadi korban ransomware dan khawatir dengan penyebaran virus secara online harus mengambil tindakan berikut:

• Segera isolasi komputer, laptop, atau tablet Anda dari jaringan perusahaan/internal Anda. Matikan Wi-Fi.
• Ganti driver.
• Tanpa menyambung ke jaringan Wi-Fi, sambungkan komputer Anda langsung ke Internet.
• Perbarui sistem operasi Anda dan semua perangkat lunak lainnya.
• Perbarui dan jalankan perangkat lunak antivirus Anda.
• Sambungkan kembali ke jaringan.
• Pantau lalu lintas jaringan dan/atau jalankan pemindaian virus untuk memastikan ransomware hilang.

Penting!

File yang dienkripsi oleh virus WannaCry tidak dapat didekripsi oleh siapa pun kecuali penyerang. Jadi jangan buang waktu dan uang Anda pada “orang-orang jenius IT” yang berjanji akan menyelamatkan Anda dari sakit kepala ini.

Apakah layak membayar uang kepada penyerang?

Pertanyaan pertama yang diajukan oleh pengguna yang menghadapi virus ransomware WannaCry baru adalah: cara memulihkan file dan cara menghapus virus. Karena tidak menemukan solusi yang bebas dan efektif, mereka dihadapkan pada pilihan: membayar uang kepada pemeras atau tidak? Karena pengguna sering kali kehilangan sesuatu (dokumen pribadi dan arsip foto disimpan di komputer), keinginan untuk menyelesaikan masalah dengan uang benar-benar muncul.

Namun NCA sangat mendesak Bukanmembayar uang. Jika Anda memutuskan untuk melakukan ini, ingatlah hal berikut:

• Pertama, tidak ada jaminan bahwa Anda akan mendapatkan akses ke data Anda.
• Kedua, komputer Anda mungkin masih terinfeksi virus bahkan setelah pembayaran.
• Ketiga, kemungkinan besar Anda akan memberikan uang Anda kepada penjahat dunia maya.

Bagaimana cara melindungi diri Anda dari WannaCry?

Vyacheslav Belashov, kepala departemen penerapan sistem keamanan informasi di SKB Kontur, menjelaskan tindakan apa yang harus diambil untuk mencegah infeksi virus:

Keunikan virus WannaCry adalah ia dapat menembus suatu sistem tanpa campur tangan manusia, tidak seperti virus enkripsi lainnya. Sebelumnya, agar virus dapat beroperasi, pengguna harus lalai - mengikuti tautan yang meragukan dari email yang sebenarnya tidak ditujukan untuknya, atau mengunduh lampiran berbahaya. Dalam kasus WannaCry, kerentanan yang ada langsung di sistem operasi itu sendiri dieksploitasi. Oleh karena itu, komputer berbasis Windows yang tidak menginstal pembaruan 14 Maret 2017 adalah yang paling berisiko. Satu stasiun kerja yang terinfeksi di jaringan lokal sudah cukup untuk menyebarkan virus ke stasiun lain yang memiliki kerentanan.

Pengguna yang terkena virus tentu saja mempunyai satu pertanyaan utama: bagaimana cara mendekripsi informasi mereka? Sayangnya, belum ada solusi yang pasti dan hal ini sepertinya tidak dapat diperkirakan sebelumnya. Bahkan setelah membayar jumlah yang ditentukan, masalahnya tidak terpecahkan. Selain itu, situasi ini dapat diperparah oleh kenyataan bahwa seseorang, dengan harapan dapat memulihkan datanya, mengambil risiko menggunakan dekripsi yang dianggap “gratis”, yang pada kenyataannya juga merupakan file berbahaya. Oleh karena itu, nasehat utama yang dapat diberikan adalah berhati-hati dan berusaha semaksimal mungkin untuk menghindari keadaan seperti itu.

Apa sebenarnya yang bisa dan harus dilakukan saat ini:

1. Instal pembaruan terkini.

Ini tidak hanya berlaku untuk sistem operasi, tetapi juga untuk alat perlindungan antivirus. Informasi tentang memperbarui Windows dapat ditemukan di sini.

2. Buat salinan cadangan informasi penting.

3. Berhati-hatilah saat bekerja dengan email dan Internet.

Anda perlu memperhatikan email masuk dengan link dan lampiran yang meragukan. Untuk bekerja dengan Internet, disarankan untuk menggunakan plugin yang memungkinkan Anda menghilangkan iklan yang tidak perlu dan tautan ke sumber yang berpotensi berbahaya.

Singkatnya: Untuk melindungi data dari virus ransomware, Anda dapat menggunakan disk terenkripsi berdasarkan wadah kripto, yang salinannya harus disimpan di penyimpanan cloud.

• Analisis terhadap pengunci kripto menunjukkan bahwa mereka hanya mengenkripsi dokumen dan wadah file dari disk terenkripsi tidak menarik bagi pengunci kripto.
• File-file di dalam wadah kripto tersebut tidak dapat diakses oleh virus ketika disk dicabut.
• Dan karena Disk Terenkripsi diaktifkan hanya pada saat diperlukan untuk bekerja dengan file, ada kemungkinan besar bahwa cryptolocker tidak akan punya waktu untuk mengenkripsinya atau akan mengungkapkan dirinya sebelum saat ini.
• Meskipun pengunci kripto mengenkripsi file pada disk tersebut, Anda dapat dengan mudah memulihkan salinan cadangan wadah kripto disk dari penyimpanan cloud, yang secara otomatis dibuat setiap 3 hari atau lebih sering.
• Menyimpan salinan wadah disk di penyimpanan cloud aman dan mudah. Data dalam penampung dienkripsi dengan aman, yang berarti Google atau Dropbox tidak akan dapat melihat ke dalamnya. Karena wadah kripto adalah satu file, saat Anda mengunggahnya ke cloud, Anda sebenarnya mengunggah semua file dan folder yang ada di dalamnya.
• Wadah kripto dapat dilindungi tidak hanya dengan kata sandi yang panjang, tetapi juga dengan kunci elektronik seperti rutoken dengan kata sandi yang sangat kuat.

Virus Ransomware seperti Locky, TeslaCrypt, CryptoLocker, dan WannaCry cryptolocker dirancang untuk memeras uang dari pemilik komputer yang terinfeksi, itulah sebabnya mereka juga disebut “ransomware”. Setelah menginfeksi komputer, virus mengenkripsi file dari semua program yang dikenal (doc, pdf, jpg...) dan kemudian memeras uang untuk mendekripsinya kembali. Pihak yang dirugikan kemungkinan besar harus membayar beberapa ratus dolar untuk mendekripsi file, karena ini adalah satu-satunya cara untuk mendapatkan informasi kembali.

Jika informasinya sangat mahal, situasinya tidak ada harapan, dan diperumit oleh fakta bahwa virus tersebut memiliki hitungan mundur dan mampu menghancurkan dirinya sendiri tanpa memberi Anda kesempatan untuk mengembalikan data jika Anda berpikir dalam waktu yang sangat lama.

Keuntungan program Enkripsi Disk Rohos untuk melindungi informasi dari virus kripto:

• Membuat wadah Crypto untuk perlindungan file dan folder yang andal.
  Prinsip enkripsi on-the-fly dan algoritma enkripsi AES 256 Bit yang kuat digunakan.
• Terintegrasi dengan Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
  Rohos Disk memungkinkan layanan ini memindai wadah kripto secara berkala dan hanya mengunggah perubahan pada data terenkripsi ke cloud, sehingga cloud menyimpan beberapa revisi pada disk kripto.
• Utilitas Rohos Disk Browser memungkinkan Anda bekerja dengan disk kripto sehingga program lain (termasuk virus) tidak memiliki akses ke disk ini.

Disk Rohos wadah kripto

Program Rohos Disk membuat wadah kripto dan huruf drive untuk wadah tersebut di sistem. Anda bekerja dengan disk seperti biasa, semua data di dalamnya dienkripsi secara otomatis.

Ketika disk kripto dinonaktifkan, disk tersebut tidak dapat diakses oleh semua program, termasuk virus ransomware.

Integrasi dengan penyimpanan cloud

Program Rohos Disk memungkinkan Anda menempatkan wadah kripto di folder layanan penyimpanan cloud dan menjalankan proses sinkronisasi wadah kripto secara berkala.

Layanan yang didukung: Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.

Jika disk kripto dihidupkan, terjadi infeksi virus dan virus mulai mengenkripsi data pada disk kripto, Anda memiliki kesempatan untuk memulihkan citra wadah kripto dari cloud. Sebagai informasi - Google Drive dan Dropbox dapat melacak perubahan dalam file (revisi), hanya menyimpan bagian file yang diubah dan oleh karena itu memungkinkan Anda memulihkan salah satu versi wadah kripto dari masa lalu (biasanya 30-60 hari tergantung pada ruang kosong di Google Drive) .

Utilitas Peramban Disk Rohos

Rohos Disk Browser memungkinkan Anda membuka wadah kripto dalam mode Explorer tanpa membuat disk tersedia di tingkat driver untuk seluruh sistem.

Keuntungan dari pendekatan ini:

• Informasi disk hanya ditampilkan di Rohos Disk Browser
• Tidak ada aplikasi lain yang dapat mengakses data pada disk.
• Pengguna Rohos Disk Browser dapat menambahkan file atau folder, membuka file dan melakukan operasi lainnya.

Perlindungan data lengkap terhadap malware:

• File-file tersebut tidak dapat diakses oleh program lain, termasuk komponen Windows.

Selama beberapa dekade, penjahat dunia maya telah berhasil mengeksploitasi kelemahan dan kerentanan di World Wide Web. Namun, dalam beberapa tahun terakhir telah terjadi peningkatan yang jelas dalam jumlah serangan, serta peningkatan tingkat serangan - penyerang menjadi lebih berbahaya dan malware menyebar dengan kecepatan yang belum pernah terjadi sebelumnya.

Perkenalan

Kita berbicara tentang ransomware, yang mengalami lompatan luar biasa pada tahun 2017 dan menyebabkan kerugian pada ribuan organisasi di seluruh dunia. Misalnya saja di Australia, serangan ransomware seperti WannaCry dan NotPetya bahkan menimbulkan kekhawatiran di tingkat pemerintah.

Menyimpulkan “keberhasilan” malware ransomware tahun ini, kita akan melihat 10 malware paling berbahaya yang menyebabkan kerusakan terbesar pada organisasi. Mari berharap tahun depan kita bisa mengambil pelajaran dan mencegah masalah seperti ini memasuki jaringan kita.

BukanPetya

Serangan ransomware ini dimulai dengan program akuntansi Ukraina M.E.Doc, yang menggantikan 1C, yang dilarang di Ukraina. Hanya dalam beberapa hari, NotPetya menginfeksi ratusan ribu komputer di lebih dari 100 negara. Malware ini merupakan varian dari ransomware Petya yang lebih lama, satu-satunya perbedaan adalah serangan NotPetya menggunakan eksploitasi yang sama dengan serangan WannaCry.

Ketika NotPetya menyebar, hal ini berdampak pada beberapa organisasi di Australia, seperti pabrik coklat Cadbury di Tasmania, yang harus menutup sementara seluruh sistem TI mereka. Ransomware tersebut juga berhasil menyusup ke kapal kontainer terbesar di dunia milik Maersk, yang dilaporkan kehilangan pendapatan hingga $300 juta.

Ingin Menangis

Ransomware ini, dengan skala yang mengerikan, praktis telah menguasai seluruh dunia. Serangannya menggunakan eksploitasi EternalBlue yang terkenal, yang mengeksploitasi kerentanan dalam protokol Microsoft Server Message Block (SMB).

WannaCry menginfeksi korbannya di 150 negara dan lebih dari 200.000 mesin pada hari pertama saja. Kami menerbitkan malware sensasional ini.

terkunci

Locky merupakan ransomware paling populer pada tahun 2016, namun terus beroperasi pada tahun 2017. Varian baru Locky, yang dijuluki Diablo dan Lukitus, muncul tahun ini dengan menggunakan vektor serangan yang sama (phishing) untuk meluncurkan eksploitasi.

Locky-lah yang berada di balik skandal penipuan email di Australia Post. Menurut Komisi Persaingan dan Konsumen Australia, warga negara telah kehilangan lebih dari $80.000 karena penipuan ini.

Menangis

Contoh ini terkenal karena keahliannya dalam menggunakan Remote Desktop Protocol (RDP). RDP adalah salah satu metode paling populer untuk mendistribusikan ransomware karena memungkinkan penjahat dunia maya menyusupi mesin yang mengendalikan seluruh organisasi.

Korban CrySis terpaksa membayar antara $455 dan $1.022 untuk memulihkan file mereka.

Nemukode

Nemucod didistribusikan menggunakan email phishing yang terlihat seperti invoice untuk layanan transportasi. Ransomware ini mengunduh file berbahaya yang disimpan di situs web yang diretas.

Dalam hal penggunaan email phishing, Nemucod berada di urutan kedua setelah Locky.

Jaff

Jaff mirip dengan Locky dan menggunakan teknik serupa. Ransomware ini tidak terkenal karena metode aslinya dalam mendistribusikan atau mengenkripsi file, namun sebaliknya, ia menggabungkan praktik yang paling sukses.

Penyerang di baliknya menuntut hingga $3.700 untuk akses ke file terenkripsi.

Spora

Untuk menyebarkan ransomware jenis ini, penjahat dunia maya meretas situs web yang sah dengan menambahkan kode JavaScript ke situs tersebut. Pengguna yang membuka situs tersebut akan menerima peringatan pop-up yang meminta mereka memperbarui browser Chrome untuk terus menjelajahi situs tersebut. Setelah mengunduh apa yang disebut Paket Font Chrome, pengguna terinfeksi Spora.

Cerber

Salah satu dari sekian banyak vektor serangan yang digunakan Cerber disebut RaaS (Ransomware-as-a-Service). Menurut skema ini, penyerang menawarkan untuk membayar distribusi Trojan, menjanjikan persentase dari uang yang diterima. Berkat “layanan” ini, penjahat dunia maya mengirimkan ransomware dan kemudian memberikan alat kepada penyerang lain untuk mendistribusikannya.

campuran kripto

Ini adalah salah satu dari sedikit ransomware yang tidak memiliki jenis portal pembayaran khusus yang tersedia di web gelap. Pengguna yang terkena dampak harus menunggu penjahat dunia maya mengirimi mereka petunjuk melalui email.

Pengguna dari 29 negara menjadi korban Cryptomix; mereka terpaksa membayar hingga $3,000.

Gergaji ukir

Malware lain dari daftar yang memulai aktivitasnya pada tahun 2016. Jigsaw menyisipkan gambar badut dari serial film Saw ke dalam email spam. Segera setelah pengguna mengklik gambar, ransomware tidak hanya mengenkripsi, tetapi juga menghapus file jika pengguna terlambat membayar uang tebusan $150.

Kesimpulan

Seperti yang bisa kita lihat, ancaman modern menggunakan eksploitasi yang semakin canggih terhadap jaringan yang terlindungi dengan baik. Meskipun peningkatan kesadaran di kalangan karyawan dapat membantu mengelola dampak infeksi, dunia usaha perlu melampaui standar keamanan siber dasar untuk melindungi diri mereka sendiri. Untuk bertahan melawan ancaman saat ini memerlukan pendekatan proaktif yang memanfaatkan analisis real-time yang didukung oleh mesin pembelajaran yang mencakup pemahaman perilaku dan konteks ancaman.

Apakah saat ini ada perlindungan terhadap ransomware? TIDAK. Meski terdengar menyedihkan, itu benar. Tidak ada perlindungan nyata dan, tampaknya, tidak akan ada. Namun jangan kecewa, ada sejumlah aturan sederhana yang jika diikuti akan membantu mengurangi risiko infeksi pada komputer Anda. Sebelum saya memberikan daftar rekomendasinya, saya ingin mengatakan terlebih dahulu bahwa dalam artikel ini saya tidak mengiklankan antivirus apa pun, tetapi hanya menjelaskan pengalaman saya sendiri, karena malware ini telah ditangkap dua kali di kantor. Setelah kasus-kasus ini, kami menghasilkan daftar rekomendasi.

Jadi, hal pertama yang harus Anda lakukan adalah memastikan bahwa Anda memiliki antivirus terbaru dengan database terbaru. Saya dan rekan-rekan melakukan percobaan dengan berbagai produk dari perusahaan antivirus, dan berdasarkan hasil yang diperoleh, saya dapat mengatakan bahwa kit distribusi dari Kaspersky Lab menunjukkan hasil terbaik. Kami bekerja dengan Kaspesky Endpoint Security for Business Standard. Jumlah deteksi ransomware lebih dari 40%. Oleh karena itu, jangan ragu untuk menginstal antivirus, dan jangan meremehkan program semacam itu.

Poin kedua adalah melarang peluncuran program dari folder %AppData%. Sekali lagi, ini bukanlah fakta bahwa ransomware bekerja dari folder ini, tetapi sebagai tindakan pencegahan, ransomware ini dapat dibenarkan dengan mengurangi jumlah kemungkinan vektor serangan. Malware juga dapat diluncurkan dari:

• %TEMP%
• %DATA APLIKASI LOKAL%
• %PROFIL PENGGUNA%
• %AnginDir%
• %Akar Sistem%

Poin terpenting dan benang merah yang ada di seluruh artikel adalah poin bahwa membuat salinan cadangan perlu dan sangat penting. Meskipun di rumah Anda dapat menggunakan cloud gratis dengan aman untuk penyimpanan data, tidak semua orang memiliki kesempatan ini di tempat kerja. Jika Anda adalah administrator sistem, buat dan jalankan cadangan. Jika Anda bukan bagian dari departemen TI, tanyakan kepada administrator sistem Anda tentang ketersediaan cadangan untuk data penting. Anda juga dapat menduplikasinya di cloud. Untungnya, ada banyak opsi gratis: Yandex Disk, Mail cloud, DropBox, Google Disk, dan sebagainya.

Praktis tidak mungkin melindungi diri Anda dari ransomware menggunakan cara teknis. Oleh karena itu, garis pertahanan pertama dalam hal ini adalah pengguna itu sendiri. Hanya pengetahuan dan perhatian yang dapat membantu menghindari infeksi. Yang terpenting, jangan pernah mengeklik tautan atau membuka lampiran di email dari pengirim yang tidak Anda kenal. Jika tidak, kemungkinan besar Anda berisiko kehilangan data.

Periksa alamat pengirim dalam surat, serta lampirannya, dengan cermat. Jika Anda mengharapkan surat dengan lampiran dari teman atau rekan kerja, ketika Anda menerima surat tersebut, pastikan bahwa surat tersebut benar-benar berasal dari orang yang Anda harapkan. Ini mungkin memerlukan waktu, tetapi waktu yang dihabiskan untuk memeriksa pada akhirnya dapat menghemat satu hari pemulihan data.

Jika Anda memiliki kecurigaan sekecil apa pun terhadap surat yang membahayakan, segera hubungi layanan TI Anda. Percayalah, mereka hanya akan berterima kasih untuk ini.

Beberapa varian ransomware menggunakan server perintah dan kontrol di jaringan Tor. Sebelum enkripsi dimulai, mereka mengunduh badan virus dari server ini. Jaringan Tor memiliki sejumlah titik keluar ke Internet “besar”, yang disebut node. Ada node publik, dan ada yang tersembunyi. Sebagai bagian dari tindakan pencegahan, Anda dapat memblokir node keluaran yang diketahui di router Anda, jika memungkinkan, untuk mempersulit operasi virus. Daftar alamat tersebut dapat ditemukan di Internet; sekarang ada sekitar tujuh ribu alamat.

Tentu saja, semua hal di atas tidak memberikan jaminan bahwa Anda tidak akan termasuk dalam daftar korban, namun rekomendasi ini akan membantu mengurangi risiko infeksi. Sebelum perlindungan nyata terhadap ransomware dikembangkan, senjata utama kami adalah perhatian dan kehati-hatian.