Ransomware

Penyusun:
1. Bariq Nuril Bilad
2. Daniel Surya
3. Ferdian Maulana
4. Fery Khusnil Arif
5. Gadis Sefty
6. Marchel Mulana Fahrezi
7. Muhammad Dani Ananda

SMK NEGERI 4 MALANG

2017
 KATA PENGANTAR

Dengan menyebut nama Allah SWT yang

Maha Pengasih lagi Maha Panyayang, Kami
panjatkan puja dan puji syukur atas kehadirat-
Nya, yang telah melimpahkan rahmat,
hidayah, dan inayah-Nya kepada kami,
sehingga kami dapat menyelesaikan kajian
tentang virus Ransomware yang sangat
mengganggu masyarakat.

Kajian ini telah disusun dengan maksimal

dan mendapatkan bantuan dari berbagai pihak
sehingga dapat memperlancar pembuatan
kajian ini. Untuk itu penyusun menyampaikan
banyak terima kasih kepada semua pihak yang
telah berkontribusi dalam pembuatan kajian
ini.

Terlepas dari semua itu, penyusun

menyadari sepenuhnya bahwa masih ada
kekurangan baik dari segi susunan kalimat
maupun tata bahasanya. Oleh karena itu
dengan tangan terbuka penyusun menerima
segala saran dan kritik dari pembaca agar
penyusun dapat memperbaiki kajian ilmiah ini.

Akhir kata penyusun berharap semoga

kajian tentang Ransomware ini dapat
memberikan
Manfaat bagi pembaca
Table of Contents
KATA PENGANTAR...................................................................................................................... 2
BAB I........................................................................................................................................... 4
PENDAHULUAN........................................................................................................................... 4
BAB II........................................................................................................................................ 5
KAJIAN....................................................................................................................................... 5
1.1 Pengertian Virus Ransomware........................................................................................... 5
1.2 Ciri-ciri Perangkat Yang Terkena Ransomware...................................................................7
1.3 Jenis-Jenis Ransomware.................................................................................................... 8
1. Cryptolocker................................................................................................................ 8
2. CryptoDefense.......................................................................................................... 10
3. CryptOrbit..................................................................................................................... 12
 BAB I
PENDAHULUAN

Internet seringkali disebut sebagai dunia tanpa batas. Beragam informasi bisa

didapat di internet dan siapapun bisa mengakses informasi tersebut. Seiring

perkembangan teknologi informasi, internet tak hanya memberikan kontribusi positif

bagi kehidupan tetapi juga ancaman. Ancaman lebih menakutkan justru datang dari

dunia maya, mulai dari serangan virus, trojan, phishing hingga cracker yang bisa

merusak keamanan dan sampai yang terbaru ini adalah serangan dari virus

Ransomware yang bertujuan langsung untuk mengambil data dari pengguna bitcoin

yang lagi marak-maraknya dibicarakan oleh orang-orang saat ini.

Terhubung ke internet ibaratnya membuka pintu komputer untuk bisa diakses oleh

siapapun. Melalui pintu tersebutlah, anda dengan sangat mudah bisa menjelajahi

belantara dunia maya entah itu untuk berbelanja online, membaca berita terkini,

mengirim email dan lain sebagainya. Namun melalui pintu itu pulalah, hacker bisa

masuk dan dengan mudah merusak bahkan mengambil alih kendali system komputer.

Pada banyak kesempatan, kita perlu menentukan pilihan mana yang harus dipercaya

dan mana yang tidak. Sekalipun sesuatu itu berasal dari sumber yang terpercaya dan

aman untuk dijalankan.

Bisa saja Anda menerima email dari sumber terpercaya yang di dalamnya

disertakan sebuah link dan mengkliknya. Namun siapa sangka jika ternyata melalui

link tersebut, hacker menyelipkan Ransomware untuk mematamatai komputer tanpa

sepengetahuan Anda.
 BAB II
KAJIAN
1.1 Pengertian Virus Ransomware

Ransomware merupakan perangkat lunak perusak yang mengenkripsi file di komputer atau perangkat

seluluer yang terinfeksi. Dengan meminta uang tebusan, virus ini mengunci komputer dan mencegah

pengguna untuk mengakses file, dokumen dan gambar hingga pembayaran tebusan dilakukan.

Komputer biasanya terinfeksi saat pengguna membuka tautan atau lampiran email dari pesan email

berbahaya. Dikenal sebagai email phising, yakni pesan yang sering dikirim dari akun email yang disamarkan

agar terlihat seolah berasal dari entitas yang dikenal atau dapat dipercaya. Selain itu, peretas juga dapat

menanam virus pada situs web.

Terkadang pengguna tidak langsung menyadari bahwa komputer telah terinfeksi. Beberapa ransomware

menunjukkan "layar kunci", seperti yang digunakan pada Jumat, 12 Mei 2017, lalu. "Layar kunci" tersebut

memberitahukan pengguna bahwa file telah dienkripsi dan menuntut pembayaran untuk membuka kunci

file.

Pengguna dituntut membayar uang tebusan agar arsipnya didekripsi. Untuk pembayaran, seringkali

diminta dengan mata uang virtual anonim Bitcoin, memungkinkan pengguna mengakses file dengan kunci

enkripsi yang hanya diketahui oleh peretas.

Seperti serangan Jumat lalu, pembayaran bisa naik jika tidak dilakukan dalam waktu singkat. Jika

pembayaran tidak dilakukan dalam jangka waktu tertentu, kunci enkripsi akan hancur dan file hilang

selamanya.

Namun, instansi penegak hukum menyarankan agar tidak membayar uang tebusan tersebut. Sebab,

pembayaran uang tebusan akan mendorong peretas kriminal. Selain itu, tidak ada jaminan bahwa akses file

akan dipulihkan setelah pembayaran.

 Secara garis besarnya, ransomware adalah sejenis virus malware yang menginveksi komputer dan

mengenkripsi file-file yang ada dalam komputer tersebut kemudian mereka meminta tebusan berupa uang

kepada pemilik komputer yang terinfeksi ransomware.

Ransomware memang kejam, karena user komputer diharuskan membayar sejumah uang yang sudah

ditentukan oleh penyebar virus tersebut. Dengan membayar, maka user bisa saja diberi kunci deskripsinya

untuk membuka file-file yang sudah dienkripsi oleh ransomware. Namun bisa juga, setelah membayar

mereka tidak memberikan kunci deskripsinya melainkan membiarkan komputer Anda seperti itu terus atau

malah menambahkan ancaman lain. Ada kemungkinan pula mereka akan membebaskan file-file Anda

setelah membayar, namun kemudian mereka mengaktifkan kembali sistem kerja ransomware untuk

mengenkripsi file-file Anda lagi. Semua kemungkinan bisa saja terjadi.

Khusus untuk WannaCry, malware ini juga memanfaatkan bug di OS Windows. Jika komputer Windows

di jaringan yang sama belum diupdate (dan setting SMB-nya belum diubah), maka tanpa melakukan apapun,

komputer tersebut bisa kena.

Jika dilihat di berita, banyak komputer di tempat umum (ATM, mesin antrian, dsb) terinfeksi, ini karena

ransomware tersebut sudah masuk ke jaringan tempat mesin tersebut berada. Titik awal

masuknya ransomware tersebut bisa dari komputer yang terhubung ke internet langsung yang kena serangan,

atau ada orang yang salah membuka attachment ransomware.

Sebelum membaca lebih lanjut. Updatelah Windows Anda, updatelah Antivirus Anda. Backup semua data

penting Anda. Sudah ada himbauan resmi dari kominfo dan ID-SIRTII, jadi tidak perlu saya ulangi.

Jika Anda mendengar nama NSA disebut-sebut, alasannya adalah: NSA sudah menemukan bug ini cukup

lama, tapi dijadikan tool rahasia (eternalblue). Tool ini dibocorkan oleh salah satu group hacking beberapa

bulan lalu sehingga semua orang bisa memakainya. Microsoft sudah langsung menutup lubangnya dengan

mengeluarkan update sejak 2 bulan lalu, tapi banyak orang yang tidak mengupdate Windowsnya. Bug ini

ada di kode untuk protokol SMB (Server Message Block) Versi 1, protokol ini dipakai dalam berbagai hal,

misalnya untuk sharing file dan printer di Windows.

1.2 Ciri-ciri Perangkat Yang Terkena Ransomware

tanda yang paling kentara adalah munculnya pop-up window yang berisi pesan bahwa data pemilik

komputer telah dienkripsi, seperti yang bisa dilihat di foto di bawah ini.

Gambar 1.2.1 Tanda komputer Windows telah terinfeksi ransomware WannaCry.

Jendela tersebut juga menampilkan informasi bagaimana mengembalikan data dan cara membayar uang

tebusan untuk pembuat WannaCry. Terdapat juga hitung mundur batas waktu pembayaran uang tebusan dan

tenggat waktu penghapusan dokumen jika tebusan tidak dibayar. Prompt dan notifikasi tersebut bahkan ada

versi bahasa Indonesia karena WannaCry bersifat multi-lingual untuk menyasar korban di berbagai negara.

Ada lebih dari 25 bahasa yang bisa ditampilkan oleh Ransomware ini.

Setelah itu, wallpaper Windows yang terjangkit akan diganti oleh sang virus dengan tulisan berjudul

"Ooops, your important files are encrypted dengan latar belakang hitam. Tampilan wallpaper tersebut dapat

dilihat dari gambar di bawah ini.

 Gambar 1.2.2 hand-out Tampilan wallpaper dari komputer Windows yang terjangkit ransomware

WannaCry.

Setelah itu, data yang tersimpan di komputer yang terinfeksi tidak dapat diakses. Bahkan sekadar untuk

melihat atau membaca isinya, bukan mengubah datanya.

Sampai saat ini, belum ada solusi untuk menyelamatkan data tersebut kecuali dengan membayar tebusan

sebesar Rp 4 juta.

Jika tidak sudi membayar, yang hanya bisa dilakukan adalah melakukan backup data yang terenkripsi

tersebut ke media penyimpanan lain dengan harapan ada yang menemukan kunci enkripsi di suatu hari.

1.3 Jenis-Jenis Ransomware

1. Cryptolocker
Ciri umum Cryptolocker:
Cryptolocker sebenarnya sudah tidak menyebar lagi karena servernya sudah teridentifikasi dan dihentikan
oleh pihak berwajib, namun karena ia merupakan ransomware pertama yang sukses dan banyak ransomware
yang mengikuti metode dan cara penyebaran cryptolocker, maka cryptolocker tetap perlu diberikan sebagai
acuan informasi supaya pembaca berhati-hati terhadap aksi ransomware.
 Cryptolocker akan menyebar melalui email dengan lampiran yang di kompres (RAR/ZIP),
file tersebut berisi sebuah file (nama file acak) dengan ekstensi ganda (pdf.exe)

Gambar 1.3.1.1 Contoh email yang akan dikirimkan oleh CryptoLocker

Gambar 1.3.1.2 Contoh file attachment CryptoLocker yang di kirim melalui email

Cryptolocker akan menghapus file Shadow Volume Copies sehingga mempersulit saat user
melkukan recovery file
Cryptolocker akan melakukan enkripsi file yang berada pada drive lokal pada komputer yang
terinfeksi dan pada mapping drive (folder share dari komputer lain yang di mapping di komputer
yang terinfeksi Cryptolocker). Setiap file yang di enkripsi tidak mengalami perubahan ekstensi.

File induk Cryptolocker

C:\Document and Settings\%users%\Local Settings\Application Data\%file acak%.exe

C:\Documents and Settings\%user%\Local Settings\Temp\%file acak%.exe

C:\Documents and Settings\%user%\Desktop\%file acak%.jpg

C:\Users\%Users%\AppData\Local\%file acak%.exe

C:\Users\%user%\AppData\Local\Temp\%file acak%.exe

C:\Users\%user%\AppData\Roaming\%file acak%.exe

C:\Users\%user%\Desktop\%file acak%.jpg
 Gambar 1.3.1.3 File induk Cryptolocker

Tebusan yang diminta :

$300 dengan menggunakan Bitcoin/MoneyPack

Gambar1.3.1.4 Informasi yang akan ditampilkan Crytolocker

Gambar 1.3.1.5 Wallpaper Desktop Windows yang diganti oleh CryptoLocker

2. CryptoDefense
Ciri umum CryptoDefense:

Menyebar dengan menggunakan email dengan menyertakan lampiran yang di kompresi (RAR/ZIP)
dan memanfaatkan celah keamanan software (contoh: flash player)
 CryptoDefense akan menghapus file Shadow Volume Copies sehingga mempersulit saat user akan
recover file

CryptoDefense akan mengenkripsi file yang berada pada drive lokal pada komputer yang terinfeksi
dan pada mapping drive. Setiap file yang di enkripsi akan menambahkan string !crypted! di awal isi
file.

Gambar 1.3.2.1 String !Crypted! yang ditambahkan oleh CryptoDefense pada fileyang di
enkripsi
File CryptoDefense

C:\Documents and Settings\%User%\Local Settings\%file acak%.exe

C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe

C:\Users\%Users%\AppData\Local\%file acak%.exe]

C:\Users\%user%\AppData\Local\%file acak%.exe

C:\Users\%user%\AppData\Roaming\%file acak%.exe]

Informasi cara untuk decrypt file

How_Decrypt.txt & How_Decrypt.html

Gambar 1.3.2.2 Isi file How_Decrypt.txt
Gambar 1.3.2.3 Isi i file How_Decrypt.html

Tebusan :

USD 300 dan meningkat menjadi 1000 USD jika lebih dari 4 hari. Menggunakan Bitcoin

Gambar 1.3.2.4 File CryptoDefense yang akan dibuat di lokasi file yang di enkripsi
3. CryptOrbit
Ciri umum CryptOrbit:

Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java remote |
code execution vulneebility| abobe flash player] , website (popup)

Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan merecover file

CryptOrbit tidak akan meng-enkripsi file, tetapi akan merusak file dengan menghapus string pada
header file sehingga terjadi perbedaan ukuran sebesar 512 kb dari file asli yang mengakibatkan file
tidak dapat dibuka
File CryptOrbit

C:\Documents and Settings\%User%\Local Settings\Application Data\%file acak%.exe

C:\Documents and Settings\%User%\Local Settings\Temp\%file acak%.exe

C:\Users\%Users%\AppData\Local\%file acak%.exe

C:\Users\%Users%\AppData\Local\Temp\%.file acak%.exe

C:\Users\%user%\AppData\Roaming\%file acak%.exe

C:\Program Data\%file acak%.exe

Informasi cara decrypt file

HowDecrypt.txt, HowDecrypt.gif & HowDecrypt.ntm

Tebusan :

$500 dengan menggunakan Bitcoin

1.4 Cara Kerja Ransomware

Malware yang paling banyak ditemukan di Amerika Serikat ini bekerja dalam empat cara. Pertama,
ransomware melumpuhkan komputer dengan cara mematikan sejumlah tools dan program yang terdapat di
registry. Kedua, ransomware melumpuhkan keyboard dan mouse, dan hanya membiarkan pad nomor aktif.

Ketiga, ransomware mengunduh dan menampilkan pesan peringatan, yang isinya mengaku-ngaku sebagai
penegak hukum. Keempat, pesan peringatan tersebut menyatakan bahwa si pengguna telah diketahui
mengakses konten ilegal di internet, sehingga si pengguna harus membayar sejumlah uang agar bisa
mengakses komputernya.
1.5 Perangkat Yang Terkena Dampak Dari Ransomware

Sistem yang terkena dampak ransomeware adalah komputer, perangkat mobile, dan server. Kebanyakan
serangan ransomware di komputer ditemukan pada komputer pribadi yang berjalan di sistem operasi
Windows.

Sementara di perangkat mobile, ransomware masih dalam tahap percobaan pengembangan, yang mana
para pelaku kejahatan di dunia maya mengamati hasilnya terlebih dahulu, sebelum memutuskan langkah
berikutnya. Adapun serangan ransomware terhadap server dilakukan si pelaku dengan cara melancarkan
serangan distributed denial-of-service (DDoS).

Dalam gelaran media briefing Symantec yang berlangsung hari ini, Kamis (27/08/2015), Country Manager
Symantec Indonesia, Ong Jong Han, mengungkapkan, "Saat ini 4.000 serangan ransomware dikabarkan ada
di Indonesia."

Selain itu, Halim Santoso selaku perwakilan dari System Engineering Symantecs ASEAN memaparkan, "Di
Indonesia, kami menemukan scam di situs jejaring sosial dalam persentase yang sangat tinggi, yaitu 90%.
Angka ini bisa dicapai karena pada dasarnya, penyebaran scam tersebut bermula dari rasa saling percaya di
antara lingkaran pertemanan para pengguna situs jejaring sosial."
1.6 Efek dan Penyebaran Ransomware

Ransomware versi awal hanya menggunakan metode sederhana untuk mengunci data di komputer dan cukup
mudah bagi seseorang yang mengerti tentang komputer untuk mengembalikan akses terhadap data di
komputer. Namun ransomware terbaru telah menerapkan metode enkripsi yang sangat sulit untuk dibuka.

Setelah ransomware ini selesai melakukan enkrips terhadap data komputer, maka data tersebut tidak akan
bisa diakses. Jika pengguna ingin mengakses data di komputer tersebut, maka pengguna harus membayar
uang tebusan kepada pembuat ransomware tersebut, biasanya dengan menggunakan bitcoin. Mereka
menggunakan bitcoin supaya transaksinya tidak dapat dilacak maupun dideteksi. Setelah pengguna
membayar uang tebusan itu, ada kemungkinan pembuat ransomware akan mengirimkan kode untuk
membuka enkripsi tersebut, namun seringkali uang tebusan sudah dikirim namun kodenya tidak pernah
dikirim.

Pada tanggal 12 Mei ini, Rusia dan Taiwan adalah dua negara yang pengguna komputernya paling banyak
terkena ramsomware dengan nama WannaCry. Laporan terakhir bahkan menyebutkan bahwa dua rumah
sakit di Jakarta telah terkena ransomware WannaCry dan tidak bisa mengakses data mereka. Uang tebusan
yang dituntut oleh pembuat ransomware ini sekitar empat juta rupiah dalam bentuk Bitcoin dan harus
dibayarkan dalam tiga hari. Jika lebih dari tiga hari maka kode dekripsi akan dihapus oleh pelaku.

Penyebaran awalnya adalah melalui file yang dikirim melalui email. Jika pengguna komputer mengakses file
tersebut, WannaCry akan langsung aktif dan menyebar melalui jaringan komputer dengan menggunakan
TCP port 445. Karena hal tersebut, penyebaran ransomware ini sangat cepat dan tidak disadari.

Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII), lembaga bentukan
pemerintah yang menangani infrastruktur internet, menghimbau agar masyarakat tidak membayar uang
tebusan itu karena walaupun uang tebusan tersebut sudah dibayar, tidak ada jaminan kalau pelaku akan
memberikan kode dekripsinya, bahkan bisa jadi pelaku akan meminta tambahan uang tebusan dan kode
dekripsi tetap tidak akan diberi. Skenario pelaku memberikan kode dekripsi setelah korban membayar uang
tebusan memang ada, namun skenario itu sangat jarang terjadi. Selain itu, pembayaran uang tebusan akan
menjadi preseden buruk dan menjadi insentif bagi pelaku untuk membuat ransomware di kemudian hari.

1.7 Cara Mencegah Ransomware

1. Menutup port 135 dan 445

1. Untuk menutup port 135 dan 445, kamu dapat menggunakan command line untuk
menutupnya.
2. Untuk membuka Command Line, kamu dapat klik kanan pada start menu, dan pilih menu
Command Prompt (Admin), atau jika tidak ada maka pilih Microsoft Powershell (Admin)
3. Jika tidak ada, kamu dapat mengetikan cmd pada start menu, dan klik kanan lalu pilih Run
as Administrator

Gambar 1.7.1 Mencari CMD

4. Setelah itu, kamu dapat menjalankan 2 command dibawah ini (atau dengan langsung
dicopy) :
 5.
ction=block protocol=TCP localport=135 name="Block_TCP-135"

6.
netsh advfirewall firewall add rule

7. Lalu kamu dapat masuk ke command line dan paste ke sana. Untuk Windows 7,8,8.1, kamu
dapat klik kanan pada kotak hitam dan klik paste. Untuk Windows 10, kamu dapat langsung
klik kanan pada kotak hitam.

2.Matikan Support SMBv1

Ransomware WannaCry ini menggunakan eksploitasi port SMB, maka untuk mencegahnya kamu dapat
mematikan fitur SMB ini dengan cara menjalankan command line:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

/ disable-feature / featurename:SMB1Protoco

Caranya hampir sama dengan cara sebelumnya, jadi kamu dapat mengikuti step sebelumnya
 3.Update Windows kamu sampai ke update terbaru
Lakukan update security pada sistem operasi Windows dengan menginstall patch MS17-010 yang
dikeluarkan oleh Microsoft. Lihat: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx .
Updating sebaiknya dilakukan dengan cara mengambil file patch secara download menggunakan komputer
biasa, bukan komputer yang berperan penting.

4. Cara Mencegah Menurut Kominfo

1. Sebelum menghidupkan komputer/server, terlebih dahulu matikan hotspot/wifi dan cabut

koneksi kabel LAN/internet.

2. Setelahnya, segera pindahkan data ke sistem operasi non Windows (Linux, Mac) atau lakukan
Backup (copy) data-data ke media lain yang terpisah.

3. Baru dapat aktifkan koneksi wifi dan LAN/internet.

4. Langkah teknis ke-4 hingga ke-7 dilakukan oleh pengelola teknologi informasi
setempat. Lakukan update security pada sistem operasi Windows dengan menginstall patch
MS17-010 yang dikeluarkan oleh Microsoft. Lihat: https://technet.microsoft.com/en-
us/library/security/ms17-010.aspx . Updating sebaiknya dilakukan dengan cara mengambil
file patch secara download menggunakan komputer biasa, bukan komputer yang berperan
penting.

5. Lakukan update antivirus. Contoh antivirus: Kapersky Total Security, Eset, Panda, Symantec,
yang bisa didownload versi trial untuk 30 hari gratis dengan fungsi atau fitur penuh dan
update. Pastikan antivirus meliputi Anti Ransomware.

6. Non-aktifkan fungsi SMB (Server Message Block) dan non-aktifkan fungsi macros.

7. Blokir port 139/445 dan 3389 pada komputer Anda.