Catatan bagi mereka yang akan mengunakan computer pada hari Senin 15 Mei 2017. Mengingat serangan WannaCry terjadi di Inggris pada hari Jumat. Dan beberapa penguna computer di Indonesia berbeda waktu 7 jam.
Kemungkinan malware WannaCry tidak menyerang sebagian computer di Indonesia. Mungkin dapat aktif pada hari Senin.

Sebelum terhubung ke jarangan computer (LAN / WIFI) kantor. Ada baiknya melakukan pencegahan WannaCry dengan Patch Windows dan informasi serta membaca kronologi dibawah ini.
  1. Dan melakukan backup semua file yang masuk daftar sasaran Malware WannaCryt. Dikhawatirkan malware masih aktif pada server atau ada di computer lain. Bila malware aktif, maka data dari daftar tipe file akan dikunci dan anda tidak dapat membuka.
  2. Tutup port yang dimanfaatkan oleh malware dengan Firewall tanpa terhubung ke jaringan LAN, WIFI dan internet
  3. Patch Windows dari Exploit yang diperbaiki oleh Microsoft pada Maret 2017.
  4. Install Antivirus untuk memeriksa apakah Malware Wannacryt masih tersembunyi di storage harddisk

Serangan cyber ransomware ransom.Win32.WannaCrypt pada hari Jumat 12 Mei 2017 melanda beberapa rumah sakit di Inggris dalam skala besar. Dari rekan kami, disebutkan serangan muncul pada jam yang sama, tepatnya sore hari 12 Mei 2017. Sebuah kantor mendapatkan beberapa computer dengan file penting telah terkunci.

Terjadi pada jam 1:30 siang di beberapa kota di Inggris, malware aktif dan menyerang server dan semua computer yang ada di jaringan LAN / WIFI. Sebagian computer di rumah sakit telah Offline atau dimatikan untuk pencegahan. Pasien rumah sakit di Inggris disarankan mengubungi telepon untuk mendapatkan informasi medis atau panggilan darurat. Dan menghindari datang ke rumah sakit karena sistem admistrasi rumah sakit mengalami gangguan.

Pihak rumah sakit belum mengetahui apakah data juga di akses oleh Ransomware. Konformasi terakhir, malware Wannacry tidak mengambil data hanya mengunci server agar tidak dapat di akses dan meninggalkan pesan.

Malware Wana Decryptor  disebutkan oleh layanan kesehatan NHS menyerang rumah sakit di Skotlandia dan Inggris dalam skala besar. Data di layar computer pasien yang terkunci akan ditagih 230 pound /600 dollar untuk membuka data mereka. Serangan yang mirip melanda rumah sakit Amerika di tahun 2016.

Infeksi ransomware WannaCrytor atau WannaCry dikabarkan berlanjut sampai di 70 negara lain. Seperti Inggris, Amerika, China, Rusia, Spanyol, Italia dan Taiwan. Dan laporan resmi dari perusahaan antivirus Kaspersky mengatakan sudah mencapai 74 negara, dan terakhir 99 negara. Di Spanyol layanan Telefonica telekom terbesar terkena Ransomware ini. Layanan publik lain Iberdrola perusahaan gas juga terkena.
Layanan kurir FedEx Inggris dikabarkan terkena tipuan malware WannaEncryt tapi tidak disebutkan untuk penguna di negara mana saja yang terkena.

Malware WannaCryptor mengunci penguna computer. Dan meminta uang untuk ditranfer ke sebuah account Paypal untuk tembusan membuka Windows yang terkunci

Serangan WannaCryptor seperti bobby-trapped. Bisa saja user membuka email dan mengclick link yang berbahaya. Dan link mengarahkan penguna computer ke situs lain untuk mendownload malware. Lalu di click sendiri oleh penguna dan menginfeksi computer.

Penguna computer darir layanan nasional rumah sakit di Inggris diminta
  • Tidak meng-klik link yang tidak diketahui
  • Tidak membuka kiriman file dari email atau file yang di download
  • Bila muncul hal mencurigakan, hubungi bagian perbaikan IT
  • Update antivirus
  • Backup data penting
Serangan WannaCryptor ransomeware ke rumah sakit menyebar global

Kronologi serangan WannaCrytor
Kaspersky melaporkan penyebaran sudah mencapai 74 negara, update 150 negara
Terbanyak erangan di Inggris, Rusia, Taiwan dan Spanyol.
Penyebaran melalui jaringan LAN
Indonesia masuk dalam daftar. Salah satu yang terkena rumah sakit Dharmais Jakarta
Fedex telah mengkonfirmasi sistem di kantor mereka di negara Inggris terinfeksi
13 Mei 2017, malware dilaporkan oleh penguna di Jerman

Serangan WannaCryptor area dan Indonesia terkena
Daftar pesan dalam pesan berbeda di WannaCrypt, Indonesia salah satu target serangan
  • msg\m_french.wnry
  • msg\m_german.wnry
  • msg\m_greek.wnry
  • msg\m_indonesian.wnry
  • msg\m_italian.wnry
  • msg\m_japanese.wnry
  • msg\m_korean.wnry
  • msg\m_vietnamese.wnry
Malware akan mencari nama file dibawah ini dan mengunci sehingga tidak dapat di akses oleh pemiliknya:
123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

Apa yang diserang
File akan di encryt / dikunci. Misalnya aaa.docx menjadi aaa.docx.WCRY
Bila computer sudah terinfeksi dan nama file sudah dirubah, file tidak dapat dibuka walau dikembalikan ke nama extension semual. Backup file yang terkena atau sudah berubah nama menjadi WCRY. Tunggu sampai peneliti keamanan memperbaiki dan membuat anti Decryptor.
Bila malware menginfeksi dengan mudah menyebar melalui jaringan network dan sulit dihindari
Serangan dapat menyusup ke server layanan publik, dan menunggu aktif pada 12 Mei 2017
Sabtu 13 Mei 2017. Serangan WannaCryt mendadak berhenti. Kemungkinan penyebar WannaCrypt akan menyerang kembali dengan teknik berbeda.

Microsoft menambahkan sementara serangan WannaCryt tidak menyerang Windows 10.
 Additionally, we are taking the highly unusual step of providing a security update for all customers to protect Windows platforms that are in custom support only, including Windows XP, Windows 8, and Windows Server 2003. Customers running Windows 10 were not targeted by the attack today.

Tip menjaga serangan WannaCrypt di Windows 8.1 dan Server 2012

Alternative method for customers running Windows 8.1 or Windows Server 2012 R2 and later

For client operating systems:

  1. Open Control Panel, click Programs, and then click Turn Windows features on or off.
  2. In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window. (tidak diaktifkan)
  3. Restart the system

For server operating systems:

  1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
  2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window  (tidak diaktifkan)
  3. Restart the system.
File terkait WannaCryptor
!WannaDecryptor!.exe, !WannaDecryptor!.exe.lnk, !WannaCryptor!.bmp, !Please Read Me!.txt and more.

Patch Windows

Sebelum menghubungkan computer ke internet. Blok port Windows yang terhubung dengan fitur SMB
Blok port yang terhubung ke fitur tersebut sebelum terhubung ke LAN/WIFI. Microsoft menyarankan menutup koneksi di port 445 untuk keluar masuk port dari koneksi network dan internet

Blok port WannaCrypt dari Windows Firewall sebelum terhubung ke internet, LAN, WIFI
  • Buka Control Panel Windows
  • Click bagian Windows Firewall
  • Click Advanced Setting
  • Click di kanan atas Inbound Rules
  • Click New Rules di kanan atas
  • Akan muncul Window dengan keterangan New Inbound Rule Wizard
  • Pilih Port dan Next
  • Di kotak Specific local ports , masukan angka lengkap list port ini  445,137,138,139,3389
  • Dan pilih Block the connection
  • Pilih semua dari Domain Private dan Public
  • Setelah Next masukan nama misalnya Wannacrypt lalu Finish
  • Selanjutnya Patch Windows



Beberapa computer yang terkena seranganWannaCryptor adalah computer yang tidak di patch sistem security Windows
Microsoft Security Bulletin MS17-010 - Critical

Info Microsoft TechNet dan Technet Wannacrypt Microsoft

Info Microsoft Security Log

Info Patch Windows XP KB4012598 Microsoft mengeluarkan Patch Windows XP karena dianggap perlu proteksi dari Malware WannaCrypt - Direct download windowsxp-kb4012598-x86-custom-enu

Update 14 Mei 2017
TruslookWannaCryToolkit tool untuk memeriksa computer yang belum di patch atau sistem computer Vulnerable

Laporan dari Malwarehunter Twitter - Virusremovalinstruction

17 Mei 2017
Seperti dugaan para ahli keamanan, Wannacry hanya tahap ke 2 setelah Windows menutup kelemahan dari serangan pertama. ShadowBrokers yang memiliki informasi dan membocorkan kelemahan Windows memposting pesan baru. Masih banyak exploit yang mereka miliki, dan siap diluncurkan bulan Juni 2017.
Awalnya ShadowBrokers membuat satu set alat untuk menembus router dan firewall. Namun produk tersebut dijual 10.000 bitcoint atau sekitar 12 juta dollar. Tapi gagal menarik tawaran mereka, dan mereka malah membuang informasi ke dunia bawah tanah. Mereka menutup akun pada Januari 2017, tapi muncul kembali pada bulan April lalu. Dan mengeluarkan kelemahan sistem Linux dan Windows yang dimanfaatkan orang lain. Yang mengkhawatirkan, kelemahan sistem operasi Windows atau hal lain yang berhubungan dengan internet secara bertahap dibocorkan setiap bulan. Dari browser, router, perangkat mobile dan Windows 10.

20 Mei 2017
OS psumber penyebar Wannacry berdasarkan data Kaspersky
  • Windows 7 64bit 60.35%
  • Windows 7 32 bit 31.72%
  • Windows 8 Home 64bit 3,67%
  • Windows 7 32 bit 2.61$
  • Windows 2008 server antara 3.67 -0.02%
  • Winndows 10 64bit 0.03%
Windows XP ternyata bukan sebagai sumber penyebar WannaCrypt. Untuk saat ini, tapi belum diketahui nanti. Karena Windows 7 lebih banyak digunakan mencapai 48,50%

22 Mei 2017
Memeriksa computer bila masih memiliki Exploit Tool dari NSA EternalBlue 1.0 yang dimanfaatkan WannaCry
Serangan WannaCry atau versi yang mirip melanda Ukranina dinamakan XData. Jumlah serangan tidak banyak, tapi baru terditeksi sejak Jumat 19 Mei 2017 waktu setempat.
Belum dikabarkan serangan malware tersebut akan melompat ke perbatasan dan menyebar ke seluruh dunia, semoga tidak.