CSA Software

Mencegah dan Mengantisipasi Ransomware

Ransomware adalah malware (software jahat) yang masuk ke dalam sistem dan
meng-enkripsi semua file, kemudian meminta tebusan jika user ingin
memulihkan file tersebut.

Dokumen ini berisi penjelasan singkat mengenai ransomware dan cara

pencegahan dan antisipasinya.
A. Metoda Infeksi
B. Contoh Skenario Infeksi
C. Pencegahan dan Antisipasi

A. Metoda Infeksi

1. Social Engineering

Cara paling sederhana untuk menyebarkan malware adalah melalui interaksi

sosial sedemikian hingga si user sendiri yang memasukkan malware itu ke
komputernya.

Beberapa cara yang masuk kategori ini: phishing, scam, atau trojan email.

 Contoh-1
User menerima email dari Bank atau Google atau Facebook dsb, yang
memberitahukan bahwa PIN atau password-nya perlu diverifikasi ulang,
untuk memastikan bahwa user tidak di-blok oleh mereka. Pelaku phishing
telah menyiapkan website yang sepintas sama dengan website Bank atau
Google atau Facebook tsb, padahal itu semua adalah palsu.

 Contoh-2
Anda sedang mengakses internet, tiba-tiba di layar muncul peringatan
bahwa komputer anda terkena virus. Untuk membersihkan virus itu, anda
dipersilahkan meng-klik tombol tertentu. Padahal itu cuma tipuan saja.
Ketika anda meng-klik tombol, malware di-download ke dalam komputer
anda.

CSA Software
Petunjuk Mencegah dan Mengantisipasi Ransomware/ m.4.9wR
Hlm. 1
  Contoh-3
Anda menerima email pesanan pembelian, dengan rincian pesanan atau
bukti transfer disertakan pada lampiran. Padahal itu adalah email palsu.
Lampiran tersebut berisi malware yang akan masuk ke sistem komputer
anda.

2. Brute Force Attack

Pertama-tama penyerang berusaha mencari celah koneksi ke komputer anda,
misalnya dengan mendeteksi port 3389 yang biasa digunakan untuk RDP.
Selanjutnya penyerang melakukan brute force attack, yaitu mencoba berbagai
user/password yang sering dipakai (admin/admin, nomor telepon, tanggal
lahir, dsb.)

3. Metode lainnya yang lebih canggih

CSA Software
Petunjuk Mencegah dan Mengantisipasi Ransomware/ m.4.9wR
Hlm. 2
B. Contoh Skenario Infeksi

1. Penyerang mencoba masuk ke komputer target melalui metode di atas

2. Ketika berhasil masuk, penyerang melakukan beberapa hal, antara lain:
 Meningkatkan akses menjadi administrator
 Meninggalkan celah di komputer untuk digunakan di kemudian hari
(misalnya membuat user baru dengan level administrator)
 Komputer terinfeksi bisa jadi tidak menunjukan tanda2 apapun sampai saat
penyerang mengaktifkannya
 Mengambil kontrol terhadap network yg terpasang
 Meng-enkripsi semua file penting menjadi tidak bisa dibaca lagi, dengan
disertai instruksi pembayaran jika ingin file dikembalikan ke bentuk semula.

C. Pencegahan dan Antisipasi

1. Terapkan prosedur backup secara rutin, dan hasil backup harus terpisah dari
komputer ybs, misalnya menggunakan USB flashdrive yang dilepaskan setelah
selesai, atau menggunakan layanan cloud seperti Dropbox, Google drive, dsb.

Backup adalah langkah antisipasi yang utama, karena secanggih apapun

proteksi yang kita lakukan, selalu ada resiko terjadi kebobolan. Hal itu
mengingat bahwa malware selalu berevolusi dengan varian baru yang dapat
mengakali security patch yang sebelumnya dianggap telah cukup aman.

2. Gunakan “Strong Password” sehingga lebih sulit untuk di serang

 Password yg kuat minimal terdiri dari 8 character (semakin panjang
semakin kuat dan aman) dengan kombinasi huruf besar dan kecil, angka,
dan symbols (symbols tergantung penyedia layanan apakah menerima
atau tidak).
 Jangan pernah menggunakan password generic, seperti admin (pass
admin), user (pass user), dsb
 Jangan menggunakan password yang mudah ditebak seperti tanggal lahir
atau nomor telepon yang sudah diketahui oleh banyak orang.
3. Gunakan Network Level Authentication (NLA) jika memungkinkan.

CSA Software
Petunjuk Mencegah dan Mengantisipasi Ransomware/ m.4.9wR
Hlm. 3
4. Remote Desktop Protocol, jangan gunakan port standard 3389
Port number yang terdefinisi adalah seperti terdaftar pada:
C:\Windows\System32\drivers\etc\services
Gunakan portnumber yang tidak terdaftar di situ, misalnya port 4001, atau
4351, dsb.

Cara mengganti port dapat dilihat pada artikel berikut ini:

https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-
services/clients/change-listening-port

5. Batasi user dan ip address yang diijinkan mengakses RDP (menggunakan

security policies atau firewall)

CSA Software
Petunjuk Mencegah dan Mengantisipasi Ransomware/ m.4.9wR
Hlm. 4
6. Penting untuk selalu melakukan update (patch) terhadap Windows dan
aplikasi lainnya.

7. Set lockout policy untuk membatasi brute force attack

 Jalankan SECPOL.MSC
 Cari Security Settings, Account Policies, Account Lockout Policies
 Disana terdapat beberapa setting yg dapat dilakukan, misalnya ip akan di
lock setelah n kali salah mengisikan password, lock selama y menit, dsb.

8. Untuk pengguna AADS, gunakan RDP Firewall untuk melakukan pengaturan

ijin akses.

-----oOo-----
Catatan:
 Jika anda menemui masalah pada saat menjalankan petunjuk ini, silahkan
hubungi CSA Computer

CSA Software
Petunjuk Mencegah dan Mengantisipasi Ransomware/ m.4.9wR
Hlm. 5