Seperti dilansir media Rusia, pekerjaan departemen Kementerian Dalam Negeri di beberapa wilayah Rusia terganggu akibat ransomware yang telah menginfeksi banyak komputer dan mengancam akan menghancurkan seluruh data. Selain itu, operator komunikasi Megafon diserang.

Kita berbicara tentang Trojan ransomware WCry (WannaCry atau WannaCryptor). Dia mengenkripsi informasi di komputer dan meminta tebusan sebesar $300 atau $600 dalam bentuk Bitcoin untuk dekripsi.

@[dilindungi email], file terenkripsi, ekstensi WNCRY. Diperlukan instruksi utilitas dan dekripsi.

WannaCry mengenkripsi file dan dokumen dengan ekstensi berikut dengan menambahkan .WCRY di akhir nama file:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Serangan WannaCry di seluruh dunia

Serangan tercatat di lebih dari 100 negara. Rusia, Ukraina dan India sedang mengalami masalah terbesar. Laporan infeksi virus datang dari Inggris, Amerika Serikat, Tiongkok, Spanyol, dan Italia. Tercatat, serangan hacker tersebut berdampak pada rumah sakit dan perusahaan telekomunikasi di seluruh dunia. Peta interaktif penyebaran ancaman WannaCrypt tersedia di Internet.

Bagaimana infeksi terjadi?

Seperti yang dikatakan pengguna, virus masuk ke komputer mereka tanpa tindakan apa pun dari mereka dan menyebar tanpa terkendali ke seluruh jaringan. Di forum Kaspersky Lab mereka menunjukkan bahwa antivirus yang diaktifkan pun tidak menjamin keamanan.

Dilaporkan bahwa serangan ransomware WannaCry (Wana Decryptor) terjadi melalui kerentanan Microsoft Security Bulletin MS17-010. Kemudian rootkit diinstal pada sistem yang terinfeksi, yang digunakan penyerang untuk meluncurkan program enkripsi. Semua solusi Kaspersky Lab mendeteksi rootkit ini sebagai MEM:Trojan.Win64.EquationDrug.gen.

Infeksi tersebut diduga terjadi beberapa hari sebelumnya, namun virus tersebut baru muncul setelah mengenkripsi semua file di komputer.

Bagaimana menghapus WanaDecryptor

Anda akan dapat menghilangkan ancaman menggunakan antivirus; sebagian besar program antivirus sudah mendeteksi ancaman tersebut. Definisi umum:

Avast Win32:WanaCry-A, Rata-rata Tebusan_r.CFY, Avira TR/FileCoder.ibtft, Pembela Bit Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Tebusan.WanaCrypt0r, Microsoft Tebusan: Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Tebusan.Wannacry

Jika Anda telah meluncurkan ancaman di komputer Anda dan file Anda telah dienkripsi, mendekripsi file hampir tidak mungkin, karena mengeksploitasi kerentanan akan meluncurkan enkripsi jaringan. Namun, beberapa opsi alat dekripsi sudah tersedia:

Catatan: Jika file Anda dienkripsi dan tidak ada salinan cadangan, dan alat dekripsi yang ada tidak membantu, disarankan untuk menyimpan file terenkripsi sebelum membersihkan ancaman dari komputer Anda. Mereka akan berguna jika alat dekripsi yang sesuai untuk Anda dibuat di masa depan.

Microsoft: Instal pembaruan Windows

Microsoft mengatakan bahwa pengguna dengan antivirus gratis perusahaan dan Pembaruan Sistem Windows yang diaktifkan akan terlindungi dari serangan WannaCryptor.

Pembaruan tertanggal 14 Maret memperbaiki kerentanan sistem yang menyebarkan Trojan ransomware. Deteksi hari ini telah ditambahkan ke database antivirus Microsoft Security Essentials/Windows Defender untuk melindungi dari malware baru yang dikenal sebagai Ransom:Win32.WannaCrypt.

• Pastikan antivirus Anda dihidupkan dan pembaruan terkini diinstal.
• Instal antivirus gratis jika komputer Anda tidak memiliki perlindungan apa pun.
• Instal pembaruan sistem terbaru menggunakan Pembaruan Windows:
  • Untuk jendela 7, 8.1 Dari menu Start, buka Control Panel > Windows Update dan klik Search for Updates.
  • Untuk Windows 10 Buka Pengaturan > Perbarui & Keamanan dan klik "Periksa pembaruan"..
• Jika Anda menginstal pembaruan secara manual, instal patch resmi Microsoft MS17-010, yang mengatasi kerentanan server SMB yang digunakan dalam serangan ransomware WanaDecryptor.
• Jika antivirus Anda memiliki perlindungan ransomware, aktifkan. Kami juga memiliki bagian terpisah di situs web kami, Perlindungan Ransomware, tempat Anda dapat mengunduh alat gratis.
• Lakukan pemindaian anti-virus pada sistem Anda.

Para ahli mencatat bahwa cara termudah untuk melindungi diri Anda dari serangan adalah dengan menutup port 445.

• Ketik sc stop lanmanserver dan tekan Enter
• Masukkan untuk Windows 10: sc config lanmanserver start=disabled, untuk versi Windows lainnya: sc config lanmanserver start= dinonaktifkan dan tekan Enter
• Hidupkan Kembali komputer Anda
• Pada prompt perintah, masukkan netstat -n -a | menemukantr "MENDENGARKAN" | findtr ":445" untuk memastikan port dinonaktifkan. Jika ada baris kosong, port tidak mendengarkan.

Jika perlu, buka kembali port tersebut:

• Jalankan Command Prompt (cmd.exe) sebagai administrator
• Masukkan untuk Windows 10: sc config lanmanserver start=auto , untuk versi Windows lainnya: sc config lanmanserver start= auto dan tekan Enter
• Hidupkan Kembali komputer Anda

Catatan: Port 445 digunakan oleh Windows untuk berbagi file. Menutup port ini tidak mencegah PC untuk terhubung ke sumber daya jarak jauh lainnya, namun PC lain tidak akan dapat terhubung ke sistem.