Mengenal Ransomware Wannacry || Oleh Poetra Mahendra

    Dunia Teknologi Informasi kita akhir pekan lalu baru saja dikejutkan oleh berita yang begitu bombastis dan fenomenal yaitu Menyebarnya sebuah Ransomware yang bernama Wcrypt Atau lebih dikenal dengan “Wanna Cry Ransomware”. Begitu masifnya serangan ini Microsoft sampai mengeluarkan update darurat (Emergency update patch) untuk seluruh versi Windows baik yang masih disupport maupun tidak.

Tampilan Depan Layar Komputer yang terinfeksi

  Bila Pada April 2016 lalu saya pernah menjelaskan tentang ransomware Locky yang menggunakan MO (Modus Operandi) standar para ransomware dimana file yang anda miliki akan dienkripsi dan dikunci sebuah “Kunci Khusus” kemudian anda disuruh untuk menebus sejumlah uang tertentu kepada si pengunci tersebut. Nah kurang lebih Wannacry juga menggunakan MO Demikian, lalu apa bedanya? Dan Bagaimana cara penyebarannya? Juga Antisipasinya? Berikut akan saya bahas satu persatu, mari kita simak Bersama-sama

Bagaimana kronologis Penyebarannya?

     Kasus besar pertama yang dilaporkan adalah Hari Jum’at tanggal 12 Mei 2017 yang menimpa perusahaan telekomunikasi asal Spanyol Yaitu Telefonica, dan menyebar kemana-mana tanpa pandang bulu, sekolah menjadi korban, rumah ibadah terkena dan Bahkan di Rumah Sakit juga terkena dan khusus rumah sakit salah satu contoh yang terkena adalah Rumah Sakit besar di Jakarta yaitu RS Harapan Kita dimana Virus Wcrypt delah berhasil mengunci dan mengenkripsi semua Sistem Administrasi Termasuk Catatan medis dan juga Daftar tagihan pasien, Sangat fantastis!

     Penyebaran awalnya tidak diketahui pasti apakah melalui metode phishing dengan mengirim “attachment jebakan” via e-mail seperti virus kebanyakan atau melalui metode baru yang dikatakan baru dipakai pada varian ini yaitu dengan mengekspos kelemahan Komponen Windows yaitu Server Message Block (SMB) Yang terkenal dengan istilah Double Pulsar Backdoor, Kelemahan ini memang sudah diperbaiki oleh Microsoft yang menerbitkan file patch update pada 14 Maret 2017 dengan namecode ETERNALBLUE, namun apabila melihat banyaknya komputer yang terinfeksi virus ini nampaknya banyak yang tidak meng-install patch update ini terutama Versi Sistem Operasi Windows yang sudah tidak disupport Windows lagi seperti Windows XP Dan Windows 8.

     Cara kerja dari backdoor ini adalah dengan mengakses port TCP 139 atau 445 dari Luar (Internet) yang kemudian disusupi oleh file induk bernama tasksche.exe, kemudian file Induk itu akan membuat direktori baru “/TOR” disetiap Drive yang ada di My Computer Seperti Drive C: D: Bahkan network drive seperti Drive P: Q: Z: dan sebagainya. File inilah yang akan mencari file yang akan dia enkripsi

Apabila terkena, apa yang diakibatkannya?

    Logika sederhana akan apa yang dilakukan oleh virus tersebut adalah anggap saja anda men-zip satu folder yang anda punya kemudian file Zip tersebut dibuat satu password untuk mengamankannya. Nah seperti itulah cara kerja Ransomware. Setelah Folder diatas berhasil membuat file infektan maka mereka akan mencari semua tipe file dengan ekstensi sebagai berikut:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, 
.3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, 
.sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, 
.pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, 
.class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, 
.avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, 
.psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, 
.zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, 
.sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, 
.ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, 
.xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Apabila kita perhatikan seksama maka hampir semua file yang menyangkut pekerjaan kita sehari-hari seperti file dari MS Office (.doc, .docx, .xls, .xlsx dan .ppt) juga Open Office (.ods, .odb, .odt dan .odp) semua akan diambil dan dijadikan sebuah file terenkripsi dengan ekstensi .wnry . Dengan demikian bisa dipastikan semua file penting kita akan dia sembunyikan. Cukup sampai situ? BELUM! Karena selain itu malware ini juga akan menutup segala kemungkinan file ini bisa direstore dari file backup windows maupun shadow copy Windows

Jenis Command yang akan dijalankan

Singkatnya sudah file hilang, cara apapun untuk mengembalikan file tersebut sudah dibuat tidak memungkinkan. Hanya ada satu cara untuk mengembalikannya yaitu membayar uang tebusan agar kita dapat kunci untuk membuka enkripsi atas file yang mereka “sandera” tersebut.

Bagaimana langkah antisipasinya?

  1. Yang paling penting adalah pastikan bahwa antivirus anda terupdate dan pastikan bahwa status Antivirus anda tidak menunjukkan tanda-tanda failed to update

  2. Jangan Pernah mengklik attachment e-mail dari orang yang tidak anda kenal walaupun informasinya tentang tagihan maupun bukti transfer yang mendesak. Apabila pengirim tidak anda kenal maka berbahaya bagi anda apapun itu yang dia minta

  3. Pastikan bahwa Windows anda sudah terpasang patch update ETERNALBLUE tanggal 14 Maret 2017 yang saya ceritakan diatas

  4. Salah satu langkah preventif adalah memastikan bahwa SMB versi 1 (CIFS) dinonaktifkan pada Windows anda.

    Hilangkan centang pada Windows Feature

    Cek pada control panel anda kemudian masuk ke bagian Windows Feature untuk masuk ke Pilihan ini.

  5. Langkah terakhir adalah Usahakan agar anda memiliki file backup anda pada Direktori yang terpisah dari Komputer anda (Contohnya pada external drive maupun cloud drive)

Anekdot


Salah satu hal yang cukup menjadi sorotan adalah bahwa virus ini ternyata memiliki sebuah kondisi yang bisa membuat virus ini menjadi batal tereksekusi. Kondisi ini terdapat pada
codeline dari virus itu sendiri bahwa virus itu memiliki sebuah kelemahan yaitu apabila virus ini bisa mengakses sebuah domain di internet yang bernama iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com maka virus ini akan batal tereksekusi

Domain untuk mematikan (Killswitch)

     Pada awal merebaknya virus ini domain tersebut merupakan domain yang tidak terdaftar, namun setelah kelemahan ini diketemui maka ada seorang hacker yang berbaik hati mendaftarkan domain tersebut di internet sehingga apabila varian virus ini masuk ke sistem anda dia tidak jadi menjalankan perintah untuk mencari file untuk disembunyikan. Setelah berita ini menyebar dan domain ini sudah bisa diakses diharapkan dapat meredam aktivitas virus ini. Pihak IT Sadikun pun juga sudah mendaftarkan domain ini agar bisa diakses dari proxy kantor anda sebagai langkah preventif

     Semoga dengan info yang saya berikan ini dapat menjadi sedikit informasi yang bermanfaat bagi anda yang mungkin juga ikut heboh dan ikut panik dengan kasus merebaknya ransomware ini mendapatkan pencerahan, apabila ada pertanyaan jangan sungkan untuk bertanya kepada Tim IT Support cabang anda masing-masing.

Kebijakan Baru Standar Password Email Sadikun Group || Oleh Andika Eka Putra

Dalam rangka mencegah terjadinya pembobolan e-mail Sadikun yang dilakukan oleh pihak tidak bertanggung jawab, maka divisi IT mengeluarkan kebijakan dalam bentuk password baru yang memiliki aturan: panjang minimum 6 karakter, minimal menggunakan 1 huruf besar dan 1 angka dan tidak mengandung kata ‘sadikun’.

Hal tersebut kami sampaikan agar password e-mail tidak mudah ditebak oleh
program pembongkar (Password cracker) yang marak saat ini. Saran kami agar password diganti secara berkala tiga sampai enam bulan sekali.
Contoh password baru

  • AnakkuElsa2010
  • LulusanSMAN8
  • HariPenting2002

Untuk yang sudah mempersiapkan diri mengganti password yang baru,
langkahnya:

  1. Login di e-mail sadikun (zimbra) di alamat https://mail.sadikungroup.com/
  2. Pilih tab “General”
  3. Pilih “Preferences” lalu “Change Password”
  4. Masukkan password lama, kemudian password baru sebanyak dua kali
  5. Lalu klik Change Password
  6. Dengan demikian kita menguatkan lapisan keamanan dari password crack

Pengertian Phising , Cara Mengenali dan Terhindar dari Phising || Oleh John Richardo

Dalam dunia Informasi Teknologi sekarang ini, informasi2 digital gampang sekali tersebar dan di curi oleh pihak2 yg tidak bertanggung jawab (terutama informasi2 yg bersifat pribadi maupun rahasia), salah satunya kita bahas dalam edisi pojok IT kali ini yaitu metode “Phising”

Pengertian Phising
Phising adalah suatu metode yang di gunakan hacker untuk mencuri password dengan cara mengelabui target menggunakan fake form login pada situs palsu yang menyerupai situs aslinya. pada beberapa kasus, situs palsu tersebut tidak terlalu mirip namun karena target kurang berhati hati dan tidak punya pengalaman tentang metode phishing maka bisa saja terjebak. Istilah phishing dalam bahasa Inggris berasal dari kata fishing alias memancing, dalam hal ini
maksudnya adalah memancing informasi dan kata sandi pengguna. Penulisan dalam bahasa inggris menggunakan kata phishing tapi orang indonesia sering salah menulis menjadi phising. pada artikel ini maksud keduanya adalah sama.

 

 

Cara kerja Phising
Ketika kita tahu cara kerja phising maka akan lebih mudah untuk menghindarinya. Tahapan atau Cara kerja Phishing adalah sebagai berikut :

1. Dengan suatu cara si peretas membuat kita melakukan klik terhadap link situs palsu mereka, bisa dengan sebuah gambar menarik di media sosial , bujukan pada email dan lain sebagainya.
2. Setelah melakukan klik, kita akan di arahkan ke situs palsu yang mana pada situs tersebut terdapat form isian misalnya form login facebook dengan kata kata yang meyakinkan bahwa facebook kita telah logout dan meminta kita memasukkan username dan password kembali. kita yang tidak menyangka bahwa situs tersebut hanyalah tiruan akan mengisi saja username dan password tanpa curiga.
3. Apa yang kita masukkan ke form isian itu akan tersimpan di server si peretas. Jadi kita masih punya waktu untuk merubah password kita sebelum si peretas melihat username dan password kita di servernya.
4. Akun kita akan di ambil alih. peretas kemungkinan besar menggunakan akun kita untuk menyebarkan url psihing ke teman teman kita untuk mendapatkan korban yang lebih banyak.

Meretas password dengan metode phishing adalah yang paling mudah di praktikkan, itu sebabnya banyak sekali di dunia maya tersebar rujukan alamat – alamat yang mengarahkan browser kita ke alamat web pishing atau web palsu. Mahir membuat design blog sudah cukup untuk dapat melakukan praktik phising. Dengan membuat situs tiruan yang tidak sama persis pun kita masih tetap bisa melakukan metode phising ini, asalkan dapat meyakinkan si target. seperti situs phishing coc dengan embel embel mendapatkan gems gratis, atau situs phising BBM yang mana pada kenyataannya situs tersebut tidak pernah ada sebelumnya. namun korbannya banyak.

 

Cara menghindari phising
Sebenarnya trik phishing ini sangat bergantung pada kehati-hatian dan kewaspadaan target. web phishing sangat mudah di kenali sehingga jika kita sudah cukup berhati hati maka seharusnya akun kita tetap aman. Hanya satu saja yang perlu kita lakukan agar phishing tidak mempan terhadap kita, yaitu :

Cermati alamat atau url situs tujuan, pastikan url tersebut resmi atau tidak. pernah ada atau tidak. sebagai contoh, alamat situs facebook.test.com sangat berbeda dengan test.facebook.com meskipun kelihatannya sama dan cuma di bolak balik saja tapi ternyata sangat berbeda. pada facebook.test.com domain utamanya adalah test.com, sedangkan kata ‘facebook’ di awalnya nya adalah subdomain yang artinya adalah bagian dari situs test.com sedangkan test.facebook.com domain utamanya adalah facebook, meskipun hanya
sebagai contoh saja test di depan adalah bagian dari facebook itu sendiri.

 

 ada juga alamat atau domain yang di pelesetkan satu atau dua hurufnya, misalkan google.com menjadi g00gle.com, atau golgee.com dan lain lain.

Domain yang mirip mirip sering digunakan hacker untuk menjebak user yang kurang berhati hati, kurang cermat.

Phishing yang paling sering ditemui biasanya adalah phising pada akun media sosial, situs palsu tersebut tersebar dengan menggunakan foto foto porno, memancing korban untuk mengkilknya, tidak jarang foto tersebut menyerupai sebuah video yang siap di klik. maka dari itu sebaiknya cermati lagi alamat tujuannya. intinya harus cermat dan berhati hati.

Sekian, semoga bermanfaat