Atasi Seragan Malware Ransomware Wannacrypt H A K G LAN H A NGK I S A G I T I M LA Dengan Hiren Boot CD Dengan Linux Live CD www.kominfo.go.id 1
1. Sistem yang terpengaruh: Windows 8, Windows XP SP3, Windows Vista, Windows Server 2008, Windows Server 2003 + Data Center Edition, Windows 8 x64, Windows XP SP3 Embedded, Windows Server 2003 x64 + Data Center Edition, Windows XP SP2 x64, Windows Vista x64, Windows Server 2008 Itanium, Windows Server 2008 x64, Windows XP Embedded Dengan Hiren Boot CD* 2. Komponen yang anda perlukan: - Laptop Z dengan Operating System Windows 10 update dan memiliki AV aktif update - USB Thumb Drive / Flash Disk A kosong ukuran 8 GB untuk installasi HIREN BOOT CD *) - USB Thumb Drive / Flash Disk B kosong format NTFS ukuran menye suaikan untuk backup - USB External HDD kosong format NTFS ukuran menyesuaikan untuk backup - HIREN BOOT CD, download ISO Files http://www.hirensbootcd.org/ download - Install HIREN BOOT CD ke USB Thumb Drive / Flash Disk A Note: http://www.hirensbootcd.org/usb-booting - Alternatif: burn HIREN BOOT CD ke CD kosong Note: http://www.hirensbootcd.org/burning *) HIREN BOOT CD adalah versi kompak Windows XP khusus untuk Data Recovery 3. Apabila tersedia, lakukan instalasi / burning HIREN BOOT CD di laptop / PC non-windows 4. Pada network Firewall / IPS lakukan blocking untuk TCP / UDP Port 139, 445 dan 3389 5. Pada PC Firewall Protection lakukan blocking untuk TCP / UDP Port 139, 445 dan 3389 6. Download security patch: - Manual download http://access.com/product-download/ftk-imager-liteversion-3.1.1 2
- Manual download https://technet.microsoft.com/en-us/library/security/ms17-010.aspx - Manual download patch: http://www.catalog.update.microsoft.com/search. aspx?q=kb4012598 - Manual download signature base terbaru Anti Virus yang sudah terinstall di PC anda Note: tergantung AV anda miliki, carilah link download signature base secara manual - Bila belum memiliki AV, download AV dengan fitur Total Security versi Trial 30 hari Note: AV versi Trial https://www.kaspersky.com/downloads/thank-you/totalsecurity-free-trial - Copy seluruh file hasil download ke USB Thumb Drive / Flash Disk B Backup Data 7. Tindakan pencegahan untuk komputer yang belum diketahui terinfeksi: 7.1. Dalam kondisi menyala: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Matikan Macro service: https://support.office.com/en-us/article/enable-or-disable-macros-in-officedocuments-7b4fdd2e-174f-47e2-9611-9efe4f860b12 - Matikan SMB service: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and- disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server- 2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 - Jalankan / install file patch secara manual dari USB Thumb Drive / Flash Disk B - Aktifkan AV dan manual update. Bila belum ada, install full function trial AV - Scan PC dengan menggunakan Total Security Anti Virus yang terbaru dan update - Backup ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External HDD ke Laptop Z - Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup 7.2. Dalam kondisi mati: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Pastikan PC target mendukung USB Boot dan atau ubah BIOS Setting Contoh: http://www.hirensbootcd.org/change-the-boot-order-in-bios - Pasang dan jalankan HIREN BOOT CD dari USB Thumb Drive / Flash Disk A 3
- Apabila PC target tidak mendukung USB Boot maka gunakan CD ROM Drive - Backup ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External HDD ke Laptop Z - Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup 8. PC / Server target terinfeksi: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Bila dalam keadaan menyala, masukkan USB Thumb Drive / Flash Disk A - HIREN BOOT CD - Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan live imaging - Bila dalam keadaan mati, masukkan USB Thumb Drive / Flash Disk A - HIREN BOOT CD - Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan passive imaging - Simpan image file hasil cloning - menunggu sampai ditemukan ransomware decryption key - Format dan install ulang PC / Server yang terinfeksi dengan versi minumum Windows 10 9. Apabila membutuhkan bantuan, asistensi dan diskusi: PIC, email, mobile 1. Kominfo - Aries K (Ditjen Aptika/ 081298787711), Noor Iza (Plt. Kabiro Humas Kominfo 08119781518) 2. ID-Sirtii - Didien (08119936071), Adi (0857 24144246), Kontak bantuan ID-Sirtii pada hari/jam kerja di (021) 31925551, (021) 31935556 Email: incident@idsirtii.or.id 4
1. Sistem yang terpengaruh: Windows 8, Windows XP SP3, Windows Vista, Windows Server 2008, Windows Server 2003 + Data Center Edition, Windows 8 x64, Windows XP SP3 Embedded, Windows Server 2003 x64 + Data Center Edition, Windows XP SP2 x64, Windows Vista x64, Windows Server 2008 Itanium, Windows Server 2008 x64, Windows XP Embedded Dengan Linux Live CD 2. Komponen yang anda perlukan: - Laptop Z dengan Operating System Windows 10 update dan memiliki AV aktif update - USB Thumb Drive / Flash Disk A kosong ukuran 8 GB untuk installasi Kali Linux Live *) USB Boot - USB Thumb Drive / Flash Disk B kosong format NTFS ukuran menyesuaikan untuk backup - USB External HDD kosong format NTFS ukuran menyesuaikan untuk backup - Kali Linux Live CD, download ISO Files https://www.kali.org/download dan buat Live USB Boot - Petunjuk membuat Linux Live USB Boot, menggunakan https://unetbootin. github.io *) Kali Linux Live adalah distribusi Linux khusus yang memiliki Tools Data Recovery 3. Apabila tersedia, lakukan instalasi / burning Kali Linux Live CD di laptop / PC non-windows 4. Pada network Firewall / IPS lakukan blocking untuk TCP / UDP Port 139, 445 dan 3389 5. Pada PC Firewall Protection lakukan blocking untuk TCP / UDP Port 139, 445 dan 3389 6. Download security patch: - Manual download http://access.com/product-download/ftk-imager-liteversion-3.1.1 5
6 - Manual download https://technet.microsoft.com/en-us/library/security/ms17-010.aspx - Manual download patch: http://www.catalog.update.microsoft.com/search. aspx?q=kb4012598 - Manual download signature base terbaru Anti Virus yang sudah terinstall di PC anda Note: tergantung AV anda miliki, carilah link download signature base secara manual - Bila belum memiliki AV, download AV dengan fitur Total Security versi Trial 30 hari Note: AV versi Trial https://www.kaspersky.com/downloads/thank-you/totalsecurity-free-trial - Copy seluruh file hasil download ke USB Thumb Drive / Flash Disk B Backup Data 7. Tindakan pencegahan untuk komputer yang belum diketahui terinfeksi: 7.1. Dalam kondisi menyala: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Matikan Macro service: https://support.office.com/en-us/article/enable-or-disable-macros-in-officedocuments-7b4fdd2e-174f-47e2-9611-9efe4f860b12 - Matikan SMB service: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and- disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server- 2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012 - Jalankan / install file patch secara manual dari USB Thumb Drive / Flash Disk B - Aktifkan AV dan manual update. Bila belum ada, install full function trial AV - Scan PC dengan menggunakan Total Security Anti Virus yang terbaru dan update - Backup ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External HDD ke Laptop Z - Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup 7.2. Dalam kondisi mati: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Pastikan PC target mendukung USB Boot dan atau ubah BIOS Setting Contoh: http://www.hirensbootcd.org/change-the-boot-order-in-bios - Pasang dan jalankan Kali Linux Live dari USB Thumb Drive / Flash Disk A
- Apabila PC target tidak mendukung USB Boot maka gunakan CD ROM Drive - Backup ke USB Thumb Drive / Flash Disk B atau ke USB External HDD - Pindahkan dan pasang USB Thumb Drive / Flash Disk B atau USB External HDD ke Laptop Z - Menggunakan Laptop Z lakukan AV Scan pada media penyimpan backup 8. PC / Server target terinfeksi: - Putuskan koneksi jaringan: cabut kabel dan atau matikan koneksi WiFi - Bila dalam keadaan menyala, masukkan USB Thumb Drive / Flash Disk B Backup Data - Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan live imaging - Bila dalam keadaan mati, masukkan USB Thumb Drive / Flash Disk A Kali Linux Live - Pasang USB External HDD - jalankan program FTK Imager Lite - lakukan passive imaging - Simpan image file hasil cloning - menunggu sampai ditemukan ransomware decryption key - Format dan install ulang PC / Server yang terinfeksi dengan versi minumum Windows 10 9. Apabila membutuhkan bantuan, asistensi dan diskusi: PIC, email, mobile 1. Kominfo - Aries K (Ditjen Aptika/ 081298787711), Noor Iza (Plt. Kabiro Humas Kominfo 08119781518) 2. ID-Sirtii - Didien (08119936071), Adi (0857 24144246), Kontak bantuan ID-Sirtii pada hari/jam kerja di (021) 31925551, (021) 31935556 Email: incident@idsirtii.or.id 7
8