Penyusun:
1. Bariq Nuril Bilad
2. Daniel Surya
3. Ferdian Maulana
4. Fery Khusnil Arif
5. Gadis Sefty
6. Marchel Mulana Fahrezi
7. Muhammad Dani Ananda
Internet seringkali disebut sebagai dunia tanpa batas. Beragam informasi bisa
bagi kehidupan tetapi juga ancaman. Ancaman lebih menakutkan justru datang dari
dunia maya, mulai dari serangan virus, trojan, phishing hingga cracker yang bisa
merusak keamanan dan sampai yang terbaru ini adalah serangan dari virus
Ransomware yang bertujuan langsung untuk mengambil data dari pengguna bitcoin
Terhubung ke internet ibaratnya membuka pintu komputer untuk bisa diakses oleh
siapapun. Melalui pintu tersebutlah, anda dengan sangat mudah bisa menjelajahi
belantara dunia maya entah itu untuk berbelanja online, membaca berita terkini,
mengirim email dan lain sebagainya. Namun melalui pintu itu pulalah, hacker bisa
masuk dan dengan mudah merusak bahkan mengambil alih kendali system komputer.
Pada banyak kesempatan, kita perlu menentukan pilihan mana yang harus dipercaya
dan mana yang tidak. Sekalipun sesuatu itu berasal dari sumber yang terpercaya dan
Bisa saja Anda menerima email dari sumber terpercaya yang di dalamnya
disertakan sebuah link dan mengkliknya. Namun siapa sangka jika ternyata melalui
sepengetahuan Anda.
BAB II
KAJIAN
1.1 Pengertian Virus Ransomware
Ransomware merupakan perangkat lunak perusak yang mengenkripsi file di komputer atau perangkat
seluluer yang terinfeksi. Dengan meminta uang tebusan, virus ini mengunci komputer dan mencegah
pengguna untuk mengakses file, dokumen dan gambar hingga pembayaran tebusan dilakukan.
Komputer biasanya terinfeksi saat pengguna membuka tautan atau lampiran email dari pesan email
berbahaya. Dikenal sebagai email phising, yakni pesan yang sering dikirim dari akun email yang disamarkan
agar terlihat seolah berasal dari entitas yang dikenal atau dapat dipercaya. Selain itu, peretas juga dapat
Terkadang pengguna tidak langsung menyadari bahwa komputer telah terinfeksi. Beberapa ransomware
menunjukkan "layar kunci", seperti yang digunakan pada Jumat, 12 Mei 2017, lalu. "Layar kunci" tersebut
memberitahukan pengguna bahwa file telah dienkripsi dan menuntut pembayaran untuk membuka kunci
file.
Pengguna dituntut membayar uang tebusan agar arsipnya didekripsi. Untuk pembayaran, seringkali
diminta dengan mata uang virtual anonim Bitcoin, memungkinkan pengguna mengakses file dengan kunci
Seperti serangan Jumat lalu, pembayaran bisa naik jika tidak dilakukan dalam waktu singkat. Jika
pembayaran tidak dilakukan dalam jangka waktu tertentu, kunci enkripsi akan hancur dan file hilang
selamanya.
Namun, instansi penegak hukum menyarankan agar tidak membayar uang tebusan tersebut. Sebab,
pembayaran uang tebusan akan mendorong peretas kriminal. Selain itu, tidak ada jaminan bahwa akses file
mengenkripsi file-file yang ada dalam komputer tersebut kemudian mereka meminta tebusan berupa uang
Ransomware memang kejam, karena user komputer diharuskan membayar sejumah uang yang sudah
ditentukan oleh penyebar virus tersebut. Dengan membayar, maka user bisa saja diberi kunci deskripsinya
untuk membuka file-file yang sudah dienkripsi oleh ransomware. Namun bisa juga, setelah membayar
mereka tidak memberikan kunci deskripsinya melainkan membiarkan komputer Anda seperti itu terus atau
malah menambahkan ancaman lain. Ada kemungkinan pula mereka akan membebaskan file-file Anda
setelah membayar, namun kemudian mereka mengaktifkan kembali sistem kerja ransomware untuk
Khusus untuk WannaCry, malware ini juga memanfaatkan bug di OS Windows. Jika komputer Windows
di jaringan yang sama belum diupdate (dan setting SMB-nya belum diubah), maka tanpa melakukan apapun,
Jika dilihat di berita, banyak komputer di tempat umum (ATM, mesin antrian, dsb) terinfeksi, ini karena
ransomware tersebut sudah masuk ke jaringan tempat mesin tersebut berada. Titik awal
masuknya ransomware tersebut bisa dari komputer yang terhubung ke internet langsung yang kena serangan,
Sebelum membaca lebih lanjut. Updatelah Windows Anda, updatelah Antivirus Anda. Backup semua data
penting Anda. Sudah ada himbauan resmi dari kominfo dan ID-SIRTII, jadi tidak perlu saya ulangi.
Jika Anda mendengar nama NSA disebut-sebut, alasannya adalah: NSA sudah menemukan bug ini cukup
lama, tapi dijadikan tool rahasia (eternalblue). Tool ini dibocorkan oleh salah satu group hacking beberapa
bulan lalu sehingga semua orang bisa memakainya. Microsoft sudah langsung menutup lubangnya dengan
mengeluarkan update sejak 2 bulan lalu, tapi banyak orang yang tidak mengupdate Windowsnya. Bug ini
ada di kode untuk protokol SMB (Server Message Block) Versi 1, protokol ini dipakai dalam berbagai hal,
tanda yang paling kentara adalah munculnya pop-up window yang berisi pesan bahwa data pemilik
komputer telah dienkripsi, seperti yang bisa dilihat di foto di bawah ini.
Jendela tersebut juga menampilkan informasi bagaimana mengembalikan data dan cara membayar uang
tebusan untuk pembuat WannaCry. Terdapat juga hitung mundur batas waktu pembayaran uang tebusan dan
tenggat waktu penghapusan dokumen jika tebusan tidak dibayar. Prompt dan notifikasi tersebut bahkan ada
versi bahasa Indonesia karena WannaCry bersifat multi-lingual untuk menyasar korban di berbagai negara.
Ada lebih dari 25 bahasa yang bisa ditampilkan oleh Ransomware ini.
Setelah itu, wallpaper Windows yang terjangkit akan diganti oleh sang virus dengan tulisan berjudul
"Ooops, your important files are encrypted dengan latar belakang hitam. Tampilan wallpaper tersebut dapat
WannaCry.
Setelah itu, data yang tersimpan di komputer yang terinfeksi tidak dapat diakses. Bahkan sekadar untuk
Sampai saat ini, belum ada solusi untuk menyelamatkan data tersebut kecuali dengan membayar tebusan
sebesar Rp 4 juta.
Jika tidak sudi membayar, yang hanya bisa dilakukan adalah melakukan backup data yang terenkripsi
tersebut ke media penyimpanan lain dengan harapan ada yang menemukan kunci enkripsi di suatu hari.
1. Cryptolocker
Ciri umum Cryptolocker:
Cryptolocker sebenarnya sudah tidak menyebar lagi karena servernya sudah teridentifikasi dan dihentikan
oleh pihak berwajib, namun karena ia merupakan ransomware pertama yang sukses dan banyak ransomware
yang mengikuti metode dan cara penyebaran cryptolocker, maka cryptolocker tetap perlu diberikan sebagai
acuan informasi supaya pembaca berhati-hati terhadap aksi ransomware.
Cryptolocker akan menyebar melalui email dengan lampiran yang di kompres (RAR/ZIP),
file tersebut berisi sebuah file (nama file acak) dengan ekstensi ganda (pdf.exe)
Gambar 1.3.1.2 Contoh file attachment CryptoLocker yang di kirim melalui email
Cryptolocker akan menghapus file Shadow Volume Copies sehingga mempersulit saat user
melkukan recovery file
Cryptolocker akan melakukan enkripsi file yang berada pada drive lokal pada komputer yang
terinfeksi dan pada mapping drive (folder share dari komputer lain yang di mapping di komputer
yang terinfeksi Cryptolocker). Setiap file yang di enkripsi tidak mengalami perubahan ekstensi.
C:\Users\%Users%\AppData\Local\%file acak%.exe
C:\Users\%user%\AppData\Local\Temp\%file acak%.exe
C:\Users\%user%\AppData\Roaming\%file acak%.exe
C:\Users\%user%\Desktop\%file acak%.jpg
Gambar 1.3.1.3 File induk Cryptolocker
2. CryptoDefense
Ciri umum CryptoDefense:
Menyebar dengan menggunakan email dengan menyertakan lampiran yang di kompresi (RAR/ZIP)
dan memanfaatkan celah keamanan software (contoh: flash player)
CryptoDefense akan menghapus file Shadow Volume Copies sehingga mempersulit saat user akan
recover file
CryptoDefense akan mengenkripsi file yang berada pada drive lokal pada komputer yang terinfeksi
dan pada mapping drive. Setiap file yang di enkripsi akan menambahkan string !crypted! di awal isi
file.
Gambar 1.3.2.1 String !Crypted! yang ditambahkan oleh CryptoDefense pada fileyang di
enkripsi
File CryptoDefense
C:\Users\%Users%\AppData\Local\%file acak%.exe]
C:\Users\%user%\AppData\Local\%file acak%.exe
C:\Users\%user%\AppData\Roaming\%file acak%.exe]
Gambar 1.3.2.2 Isi file How_Decrypt.txt
Gambar 1.3.2.3 Isi i file How_Decrypt.html
Tebusan :
USD 300 dan meningkat menjadi 1000 USD jika lebih dari 4 hari. Menggunakan Bitcoin
Gambar 1.3.2.4 File CryptoDefense yang akan dibuat di lokasi file yang di enkripsi
3. CryptOrbit
Ciri umum CryptOrbit:
Menyebar menggunakan email dan memanfaatkan celah keamanan software [oracle java remote |
code execution vulneebility| abobe flash player] , website (popup)
Menghapus file Shadow Volume Copies sehingga mempersulit saat user akan merecover file
CryptOrbit tidak akan meng-enkripsi file, tetapi akan merusak file dengan menghapus string pada
header file sehingga terjadi perbedaan ukuran sebesar 512 kb dari file asli yang mengakibatkan file
tidak dapat dibuka
File CryptOrbit
C:\Users\%Users%\AppData\Local\%file acak%.exe
C:\Users\%Users%\AppData\Local\Temp\%.file acak%.exe
C:\Users\%user%\AppData\Roaming\%file acak%.exe
Tebusan :
Malware yang paling banyak ditemukan di Amerika Serikat ini bekerja dalam empat cara. Pertama,
ransomware melumpuhkan komputer dengan cara mematikan sejumlah tools dan program yang terdapat di
registry. Kedua, ransomware melumpuhkan keyboard dan mouse, dan hanya membiarkan pad nomor aktif.
Ketiga, ransomware mengunduh dan menampilkan pesan peringatan, yang isinya mengaku-ngaku sebagai
penegak hukum. Keempat, pesan peringatan tersebut menyatakan bahwa si pengguna telah diketahui
mengakses konten ilegal di internet, sehingga si pengguna harus membayar sejumlah uang agar bisa
mengakses komputernya.
1.5 Perangkat Yang Terkena Dampak Dari Ransomware
Sistem yang terkena dampak ransomeware adalah komputer, perangkat mobile, dan server. Kebanyakan
serangan ransomware di komputer ditemukan pada komputer pribadi yang berjalan di sistem operasi
Windows.
Sementara di perangkat mobile, ransomware masih dalam tahap percobaan pengembangan, yang mana
para pelaku kejahatan di dunia maya mengamati hasilnya terlebih dahulu, sebelum memutuskan langkah
berikutnya. Adapun serangan ransomware terhadap server dilakukan si pelaku dengan cara melancarkan
serangan distributed denial-of-service (DDoS).
Dalam gelaran media briefing Symantec yang berlangsung hari ini, Kamis (27/08/2015), Country Manager
Symantec Indonesia, Ong Jong Han, mengungkapkan, "Saat ini 4.000 serangan ransomware dikabarkan ada
di Indonesia."
Selain itu, Halim Santoso selaku perwakilan dari System Engineering Symantecs ASEAN memaparkan, "Di
Indonesia, kami menemukan scam di situs jejaring sosial dalam persentase yang sangat tinggi, yaitu 90%.
Angka ini bisa dicapai karena pada dasarnya, penyebaran scam tersebut bermula dari rasa saling percaya di
antara lingkaran pertemanan para pengguna situs jejaring sosial."
1.6 Efek dan Penyebaran Ransomware
Ransomware versi awal hanya menggunakan metode sederhana untuk mengunci data di komputer dan cukup
mudah bagi seseorang yang mengerti tentang komputer untuk mengembalikan akses terhadap data di
komputer. Namun ransomware terbaru telah menerapkan metode enkripsi yang sangat sulit untuk dibuka.
Setelah ransomware ini selesai melakukan enkrips terhadap data komputer, maka data tersebut tidak akan
bisa diakses. Jika pengguna ingin mengakses data di komputer tersebut, maka pengguna harus membayar
uang tebusan kepada pembuat ransomware tersebut, biasanya dengan menggunakan bitcoin. Mereka
menggunakan bitcoin supaya transaksinya tidak dapat dilacak maupun dideteksi. Setelah pengguna
membayar uang tebusan itu, ada kemungkinan pembuat ransomware akan mengirimkan kode untuk
membuka enkripsi tersebut, namun seringkali uang tebusan sudah dikirim namun kodenya tidak pernah
dikirim.
Pada tanggal 12 Mei ini, Rusia dan Taiwan adalah dua negara yang pengguna komputernya paling banyak
terkena ramsomware dengan nama WannaCry. Laporan terakhir bahkan menyebutkan bahwa dua rumah
sakit di Jakarta telah terkena ransomware WannaCry dan tidak bisa mengakses data mereka. Uang tebusan
yang dituntut oleh pembuat ransomware ini sekitar empat juta rupiah dalam bentuk Bitcoin dan harus
dibayarkan dalam tiga hari. Jika lebih dari tiga hari maka kode dekripsi akan dihapus oleh pelaku.
Penyebaran awalnya adalah melalui file yang dikirim melalui email. Jika pengguna komputer mengakses file
tersebut, WannaCry akan langsung aktif dan menyebar melalui jaringan komputer dengan menggunakan
TCP port 445. Karena hal tersebut, penyebaran ransomware ini sangat cepat dan tidak disadari.
Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII), lembaga bentukan
pemerintah yang menangani infrastruktur internet, menghimbau agar masyarakat tidak membayar uang
tebusan itu karena walaupun uang tebusan tersebut sudah dibayar, tidak ada jaminan kalau pelaku akan
memberikan kode dekripsinya, bahkan bisa jadi pelaku akan meminta tambahan uang tebusan dan kode
dekripsi tetap tidak akan diberi. Skenario pelaku memberikan kode dekripsi setelah korban membayar uang
tebusan memang ada, namun skenario itu sangat jarang terjadi. Selain itu, pembayaran uang tebusan akan
menjadi preseden buruk dan menjadi insentif bagi pelaku untuk membuat ransomware di kemudian hari.
1. Untuk menutup port 135 dan 445, kamu dapat menggunakan command line untuk
menutupnya.
2. Untuk membuka Command Line, kamu dapat klik kanan pada start menu, dan pilih menu
Command Prompt (Admin), atau jika tidak ada maka pilih Microsoft Powershell (Admin)
3. Jika tidak ada, kamu dapat mengetikan cmd pada start menu, dan klik kanan lalu pilih Run
as Administrator
4. Setelah itu, kamu dapat menjalankan 2 command dibawah ini (atau dengan langsung
dicopy) :
5.
ction=block protocol=TCP localport=135 name="Block_TCP-135"
6.
netsh advfirewall firewall add rule
7. Lalu kamu dapat masuk ke command line dan paste ke sana. Untuk Windows 7,8,8.1, kamu
dapat klik kanan pada kotak hitam dan klik paste. Untuk Windows 10, kamu dapat langsung
klik kanan pada kotak hitam.
Ransomware WannaCry ini menggunakan eksploitasi port SMB, maka untuk mencegahnya kamu dapat
mematikan fitur SMB ini dengan cara menjalankan command line:
/ disable-feature / featurename:SMB1Protoco
Caranya hampir sama dengan cara sebelumnya, jadi kamu dapat mengikuti step sebelumnya
3.Update Windows kamu sampai ke update terbaru
Lakukan update security pada sistem operasi Windows dengan menginstall patch MS17-010 yang
dikeluarkan oleh Microsoft. Lihat: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx .
Updating sebaiknya dilakukan dengan cara mengambil file patch secara download menggunakan komputer
biasa, bukan komputer yang berperan penting.
2. Setelahnya, segera pindahkan data ke sistem operasi non Windows (Linux, Mac) atau lakukan
Backup (copy) data-data ke media lain yang terpisah.
4. Langkah teknis ke-4 hingga ke-7 dilakukan oleh pengelola teknologi informasi
setempat. Lakukan update security pada sistem operasi Windows dengan menginstall patch
MS17-010 yang dikeluarkan oleh Microsoft. Lihat: https://technet.microsoft.com/en-
us/library/security/ms17-010.aspx . Updating sebaiknya dilakukan dengan cara mengambil
file patch secara download menggunakan komputer biasa, bukan komputer yang berperan
penting.
5. Lakukan update antivirus. Contoh antivirus: Kapersky Total Security, Eset, Panda, Symantec,
yang bisa didownload versi trial untuk 30 hari gratis dengan fungsi atau fitur penuh dan
update. Pastikan antivirus meliputi Anti Ransomware.
6. Non-aktifkan fungsi SMB (Server Message Block) dan non-aktifkan fungsi macros.