Freelance Developer: Cara Kerja WannaCry V.1

Belakangan ini Virus yang digunakan untuk memeras korban atau biasa disebut dengan Ransomware bernama WCry atau WannaCry menjadi sorotan dunia karena telah memakan ribuan korban di 99 negara di seluruh dunia.

Berikut cara kerja virus wannacry yang telah di-reverse-engineering oleh beberapa pakar teknologi dunia.

1. WannaCry memiliki beberapa domain yang digunakan untuk persebarannya, salah satunya telah "dijinakkan" sehingga virus ini [mungkin] sudah tidak menyebar. domain ini berfungsi sebagai tombol turn-off penyebaran virus. (link)
2. (a) File virus WannaCry menyebar melalui port SMB (Server Message Block) yang dimiliki Microsoft WIndows. (b) File Virus installer akan mendownload file virus sebenarnya dari domain-domain yang dimiliki oleh pelaku. dan menjalankan background proses untuk melakukan enkripsi pada file-file milik korban.
3. file korban akan (mungkin) dikumpulkan dalam bentuk file ZIP yang di proteksi dengan password "WNcry@2ol7" tanpa tanda kutip. berikut info yang saya dapatkan (link). file korban sebelumnya akan diganti dengan file baru dengan ekstensi file WCRY. kemudian file WCRY ini akan dihubungkan dengan file exe untuk menampilkan pesan virus jika dibuka.
4. kemudian virus akan mengubah atribusi dari folder penyimpanan file ZIP yang berisikan file asli korban menjadi tersembunyi atau hidden.
5. virus akan menyiapkan key decryptor untuk menampilkan password file ZIP.
6. virus akan melakukan enkripsi pada file DLL yang merupakan library dari wannacry untuk mengembalikan file pengguna.
7. langkah selanjutnya wannacry melakukan perubahan perubahan registery dan mematikan background proses yang sekiranya dapat menganggu proses kerja virus itu sendiri.

Berikut detail grafis proses kerja ransomware WannaCry

Kesimpulan mengenai WannaCry V.1

• Pelaku kelihatannya hanya memanfaatkan celah SMB untuk mengambil kesempatan, Nilai USD 300 dianggap sangat kecil untuk dampak yang ditimbulkan.
• Virus ini berhasil dimatikan persebarannya dari domain 'kill switch'. Namun tetap berhati-hati apabila PC Windows yang terhubung dengan anda terjangkit virus ini, karena virus ini masih dapat menyebar melalui SMB (Server Message Block).
• Virus ini hanya menyerang PC atau Laptop dengan sistem operasi Windows, untuk PC atau Laptop dengan Sistem Operasi Linux dan Mac masih aman, karena virus ini dijalankan dengan VBScript.
• Virus ini sudah ada varian baru yaitu WannaCry V.2 yang tidak memiliki 'kill switch', sehingga dapat dikatakan virus baru ini lebih berbahaya karena tidak bisa dijinakkan secara global.
• Virus ini akan meminta uang tebusan sejumlah USD 300 (setara Rp. 4.000.000,-) yang dikirimkan dalam bentuk BitCoin dan bertambah bila batas waktu sudah habis. (link)
  
• Jangan melakukan pembayaran, diprediksi bahwa pelaku tidak akan melakukan decrypt pada file korban dan hanya akan kabur. (link)
  

WannaCry V.2

Serangan tidak berhenti sampai di sini, hacker lain sudah mempersiapkan virus WannaCry V.2 yang dibuat tanpa 'kill switch', diprediksi akan menggunakan teknologi yang berbeda. 

Saran Bagi Pengguna Komputer

• Selalu lakukan Update Windows
• Gunakan Windows Original
• Bila memungkinkan, Gunakan OS selain Windows untuk komputer yang penting. Kalau saya, menggunakan OpenSUSE, penggunaannya sudah mirip Windows, dan software GRATIS.
• Selalu lakukan Backup Data pada media lain. (FlashDisk, External HDD, atau Cloud)

Q&A

• (Update 15-5-2017 9:17)
• Apakah laptop saya terjangkit virus ini? Tidak, Laptop saya menggunakan Sistem Operasi Linux OpenSuse, dan saya pengguna aktif internet, Laptop saya sehari minimal 12 jam nyala dan terkoneksi internet. Maka saya simpulkan LINUX AMAN.
• Mau menyalakan Komputer Windows, apakah aman? Aman, persebaran virus sudah dimatikan melalui domain di atas. Namun untuk jaga-jaga, matikan koneksi Komputer saat menyala, dan matikan Windows Feature SMB, caranya ada disini. (link)