LANGKAH-LANGKAH
MITIGASI
Atasi Seragan Malware Ransomware Wannacrypt
Dengan
Hiren
Boot CD
Dengan
Linux
Live CD
1. Sistem yang terpengaruh:
Windows 8, Windows XP SP3, Windows Vista, Windows Server 2008, Windows Server 2003 + Data Center Edition, Windows 8 x64, Windows XP SP3 Embedded, Windows Server 2003 x64 + Data Center Edition, Windows XP SP2 x64, Windows Vista x64, Windows Server 2008 Itanium, Windows Server 2008 x64, Windows XP Embedded
2. Komponen yang anda perlukan:
Dengan
Hiren
Boot CD*
- Laptop Z dengan Operating System Windows 10 update dan memiliki AVaktif update
- USB Thumb Drive / Flash Disk A kosong ukuran 8 GB untuk installasi HIREN BOOT CD *)
- USB Thumb Drive / Flash Disk B kosong format NTFS ukuran menye suaikan untuk backup data
- USB External HDD kosong format NTFS ukuran menyesuaikan untuk backup data
- HIREN BOOT CD, download ISO Files http://www.hirensbootcd.org/ download
- Install HIREN BOOT CD ke USB Thumb Drive / Flash Disk A Note: http://www.hirensbootcd.org/usb-booting
- Alternatif: burn HIREN BOOT CD ke CD kosong Note: http://www.hirensbootcd.org/burning
*) HIREN BOOT CD adalah versi kompak Windows XP khusus untuk Data Recovery
3. Apabila tersedia, lakukan instalasi / burning HIREN
BOOT CD di laptop / PC non-windows
4. Pada network Firewall / IPS lakukan blocking untuk TCP
/ UDP Port 139, 445 dan 3389
5. Pada PC Firewall Protection lakukan blocking untuk TCP
/ UDP Port 139, 445 dan 3389
6. Download security patch:
- Manual download http://accessdata.com/product-download/ftk-imager-lite-version-3.1.1
- Manual download https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Manual download patch: http://www.catalog.update.microsoft.com/Search. aspx?q=KB4012598
- Manual download signature database terbaru Anti Virus yang sudah ter-install di PC anda
Note: tergantung AV anda miliki, carilah link download signature database secara manual
- Bila belum memiliki AV, download AV dengan fitur Total Security versi Trial 30 hari
Note: AV versi Trial https://www.kaspersky.com/downloads/thank-you/total-security-free-trial
- Copy seluruh file hasil download ke USB Thumb Drive / Flash Disk B – Backup Data
7. Tindakan pencegahan untuk komputer yang belum
diketahui terinfeksi:
7.1. Dalam kondisi menyala:
- Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Matikan Macro service:
https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12 - Matikan SMB service: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and- disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server- 2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-window-s-server-2012
- Jalankan / install file patch secara manual dari USB Thumb Drive / Flash Disk B
- Aktifkan AV dan manual update. Bila belum ada, install full function trial AV - Scan PC dengan menggunakan Total Security Anti Virus yang terbaru dan
update
- Backup data ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External
HDD ke Laptop Z
- Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup data
7.2. Dalam kondisi mati:
-
Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Pastikan PC target mendukung USB Boot dan atau ubah BIOS Setting Contoh: http://www.hirensbootcd.org/change-the-boot-order-in-bios- Apabila PC target tidak mendukung USB Boot maka gunakan CD ROM Drive - Backup data ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External
HDD ke Laptop Z
- Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup data
8. PC / Server target terinfeksi:
-
Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Bila dalam keadaan menyala, masukkan USB Thumb Drive / Flash Disk A -HIREN BOOT CD
- Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan live imaging
- Bila dalam keadaan mati, masukkan USB Thumb Drive / Flash Disk A - HIREN BOOT CD
- Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan passive imaging
- Simpan image file hasil cloning - menunggu sampai ditemukan ransomware decryption key
- Format dan install ulang PC / Server yang terinfeksi dengan versi minumum Windows 10
9. Apabila membutuhkan bantuan, asistensi dan diskusi:
PIC, email, mobile
1. Kominfo - Aries K (Ditjen Aptika/ 081298787711), Noor Iza (Plt. Kabiro Humas Kominfo 08119781518)
2. ID-Sirtii - Didien (08119936071), Adi (0857 24144246),
Kontak bantuan ID-Sirtii pada hari/jam kerja di (021) 31925551, (021) 31935556 Email: incident@idsirtii.or.id
1. Sistem yang terpengaruh:
Windows 8, Windows XP SP3, Windows Vista, Windows Server 2008, Windows Server 2003 + Data Center Edition, Windows 8 x64, Windows XP SP3 Embedded, Windows Server 2003 x64 + Data Center Edition, Windows XP SP2 x64, Windows Vista x64, Windows Server 2008 Itanium, Windows Server 2008 x64, Windows XP Embedded
Dengan
Linux
Live CD
2. Komponen yang anda perlukan:
- Laptop Z dengan Operating System Windows 10 update dan memiliki AV aktif update
- USB Thumb Drive / Flash Disk A kosong ukuran 8 GB untuk installasi Kali Linux Live *) USB Boot
- USB Thumb Drive / Flash Disk B kosong format NTFS ukuran menyesuaikan untuk backup data
- USB External HDD kosong format NTFS ukuran menyesuaikan untuk backup data
- Kali Linux Live CD, download ISO Files https://www.kali.org/download dan buat Live USB Boot
- Petunjuk membuat Linux Live USB Boot, menggunakan https://unetbootin. github.io
*) Kali Linux Live adalah distribusi Linux khusus yang memiliki Tools Data Recovery
3. Apabila tersedia, lakukan instalasi / burning Kali Linux
Live CD di laptop / PC non-windows
4. Pada network Firewall / IPS lakukan blocking untuk TCP
/ UDP Port 139, 445 dan 3389
5. Pada PC Firewall Protection lakukan blocking untuk TCP
/ UDP Port 139, 445 dan 3389
6. Download security patch:
- Manual download http://accessdata.com/product-download/ftk-imager-lite-version-3.1.1
- Manual download https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- Manual download patch: http://www.catalog.update.microsoft.com/Search. aspx?q=KB4012598
- Manual download signature database terbaru Anti Virus yang sudah ter-install di PC anda
Note: tergantung AV anda miliki, carilah link download signature database secara manual
- Bila belum memiliki AV, download AV dengan fitur Total Security versi Trial 30 hari
Note: AV versi Trial https://www.kaspersky.com/downloads/thank-you/total-security-free-trial
- Copy seluruh file hasil download ke USB Thumb Drive / Flash Disk B – Backup Data
7. Tindakan pencegahan untuk komputer yang belum
diketahui terinfeksi:
7.1. Dalam kondisi menyala:
- Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Matikan Macro service:
https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12 - Matikan SMB service: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and- disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server- 2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-window-s-server-2012
- Jalankan / install file patch secara manual dari USB Thumb Drive / Flash Disk B
- Aktifkan AV dan manual update. Bila belum ada, install full function trial AV - Scan PC dengan menggunakan Total Security Anti Virus yang terbaru dan
update
- Backup data ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External
HDD ke Laptop Z
- Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup data
7.2. Dalam kondisi mati:
-
Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Pastikan PC target mendukung USB Boot dan atau ubah BIOS Setting Contoh: http://www.hirensbootcd.org/change-the-boot-order-in-bios- Apabila PC target tidak mendukung USB Boot maka gunakan CD ROM Drive - Backup data ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External
HDD ke Laptop Z
- Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup data
8. PC / Server target terinfeksi:
-
Putuskan koneksi jaringan: cabut kabel data dan atau matikan koneksi WiFi - Bila dalam keadaan menyala, masukkan USB Thumb Drive / Flash Disk B –Backup Data
- Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan live imaging
- Bila dalam keadaan mati, masukkan USB Thumb Drive / Flash Disk A – Kali Linux Live
- Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan passive imaging
- Simpan image file hasil cloning - menunggu sampai ditemukan ransomware decryption key
- Format dan install ulang PC / Server yang terinfeksi dengan versi minumum Windows 10
9. Apabila membutuhkan bantuan, asistensi dan diskusi:
PIC, email, mobile
1. Kominfo - Aries K (Ditjen Aptika/ 081298787711), Noor Iza (Plt. Kabiro Humas Kominfo 08119781518)
2. ID-Sirtii - Didien (08119936071), Adi (0857 24144246),
Kontak bantuan ID-Sirtii pada hari/jam kerja di (021) 31925551, (021) 31935556 Email: incident@idsirtii.or.id