Melindungi Perusahaan Anda dari WCry Ransomware
Friday, 19 May 2017
Melindungi Perusahaan Anda dari WCry Ransomware

Jakarta – Ransomware telah berkembang pesat menjadi Malware, yang menyerang semua orang mulai dari pengguna di rumah, sistem kesehatan, sampai jaringan perusahaan. Hasil penelusuran menunjukkan ada sekitar lebih dari 4.000 serangan Ransomware setiap hari sejak 1 Januari 2016 .

Pada 12 Mei 2017, FortiGuard Labs  menemukan sejenis Ransomware baru yang telah berimbas pada berbagai organisasi seperti Kementrian Dalam Negeri Rusia, berbagai universitas di Cina, sistem telekomunikasi di Hungaria dan Spanyol , serta rumah sakit dan klinik  yang dikelola Departemen Pelayanan Kesehatan Inggris. Harus diingat bahwa pemerasan ini dilakukan dalam lebih dari 24 bahasa.

Ransomware ini telah dikenal dengan sejumlah nama termasuk WCry, WannaCry, WanaCrypt0r, WannaCrypt, atau Wana Decrypt0r. Disebarkan melalui ekploitasi terkait NSA yang disebut ETERNALBLUE yang bocor bulan lalu oleh sekelompok hacker yang dikenal sebagai The Shadow Brokers. ETERNALBLUE mengeksploitasi kerentanan dari protokol Microsoft Server Message Block 1.0 (SMBv1).

Produk Microsoft yang terpengaruh, termasuk:

  • Windows Vista

  • Windows Server 2008

  • Windows 7

  • Windows Server 2008 R2

  • Windows 8.1

  • Windows Server 2012 and Windows Server 2012 R2

  • Windows RT 8.1

  • Windows 10

  • Windows Server 2016

  • Windows Server Core installation option

Pada bulan Maret, Microsoft menerbitkan patch darurat untuk mengatasi kerentanan ini yang dimuat dalam Buletin  MS17-010. Pada bulan yang sama, Fortinet mengeluarkan sebuah IPS signature untuk mendeteksi dan memblokir kerentanan ini; ”Dan kami mengeluarkan AV Signature baru untuk menghentikan serangan ini.” Hasil uji dari pihak lain juga mengkonfirmasi keefektifan Anti-Virus Fortinet dan FortiSandbox dalam memblokir malware ini.  Rincian tentang IPS dan AV signature tertulis pada akhir artikel ini.

Kami sangat menyarankan semua pelanggan mengikuti tahapan berikut:

  • Aplikasikan patch terbitan Microsoft pada semua bagian jaringan yang terpengaruh

  • Pastikan Fortinet AV dan IPS Signature menginspeksi sebaik mesin penyaring web telah diaktifkan untuk mencegah pengunduhan Malware, dan untuk memastikan bahwa penyaringan web telah memblokir komunikasi balik ke server perintah dan kontrol

  • Putuskan komunikasi dengan UDP ports 137 / 138 dan TCP ports 139 / 445.

Kami juga menyarankan bagi para pengguna dan organisasi rutin untuk mengikuti tindakan pencegahan berikut:

  • Lakukan patch pada sistem operasi , software, dan firmware pada semua perangkat.  Untuk organisasi besar  dengan banyak perangkat, pertimbangkan untuk mengikut sertakan sistem pengaturan patch yang terpusat.

  • Pasang teknologi IPS, AV,dan Penyaringan web, dan ingatlah untuk selalu meng-update-nya.

  • Buatlah back-up data secara rutin . Verifikasi integritas back-up data tersebut, enkripsikan, dan uji proses perbaikan data untuk memastikan semuanya berjalan baik .

  • Pindai semua surel yang masuk dan keluar untuk mendeteksi ancaman dan saring file yang akan dikirim.

  • Jadwalkan pemindaian rutin dengan anti virus dan anti- malware secara otomatis .

  • Non–aktifkan skrip makro pada file yang ditransmisi lewat surel. Pertimbangkan pemanfaatan perangkat seperti Office Viewer untuk membuka file terkait Microsoft Office daripada lewat aplikasi Office.

  • Buatlah strategi untuk membangun kelangsungan bisnis yang tanggap dalam menghadapi berbagai pekerjaan yang riskan.

Jika sudah terkena ransomware,  hal-hal berikut ini perlu dilakukan :

  • Segera isolasi semua perangkat yang terinfeksi dengan membuangnya dari jaringan untuk mencegah penyebaran ransomware pada jaringan atau perangkat terkait.

  • Jika sudah menginfeksi jaringan, segera putuskan hubungan dengan semua perangkat terkait.

  • Matikan perangkat terpengaruh yang belum keseluruhan rusak.  Hal ini bisa membersihkan dan memperbaiki data, mengalokasi kerusakan, dan agar tidak memperburuk keadaan.

  • Back-up data harus disimpan offline.  Saat terdeteksi, periksa kembali back-up data dan pastikan bebas malware.

  • Segera hubungi pihak berwenang, laporkan setiap ransomware yang dialami, dan minta bantuan.

Keamanan dari sistem para pengguna kami menjadi hal yang utama.  Kami selalu aktif memonitor situasi terkini untuk menanggapi setiap penyalahgunaan dan segera mengabarkan perkembangan-perkembangan terbaru.

Solusi

IPS Signature:

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

AntiVirus signatures:

  • W32/Filecoder_WannaCryptor.B!tr

  • W32/WannaCryptor.B!tr

  • W32/Generic.AC.3EE509!tr

  • W32/GenKryptik.1C25!tr

CVE security vulnerability database:

2017-0143 thru 2017-0148


Tentang Fortinet

Fortinet (NASDAQ: FTNT) memberi perlindungan pada perusahaan-perusahaan besar, penyedia layanan, dan organisasi pemerintahan di seluruh dunia. Fortinet memberikan layanan proteksi yang cerdas dalam menangani berbagai serangan dan meningkatkan ketahanan terhadap jaringan yang tidak terbatas - sekarang dan di masa depan. Hanya Fortinet Security Fabric yang mampu memberikan keamanan tanpa berkompromi terhadap semua tantangan, baik dalam jaringan, aplikasi, cloud atau pun mobile. Fortinet menjadi nomor satu dalam aplikasi penyedia keamanan tingkat dunia dan lebih dari 310.000 pelanggan mempercayakan bisnis mereka dalam proteksi Fortinet. Lebih rinci tentang Fortinet dalam http://www.fortinet.com, Fortinet Blog, or FortiGuard Labs.    .    

FTNT-O

Copyright © 2017 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiManager, FortiMail, FortiClient, FortiCloud, FortiCare, FortiAnalyzer, FortiReporter, FortiOS, FortiASIC, FortiWiFi, FortiSwitch, FortiVoIP, FortiBIOS, FortiLog, FortiResponse, FortiCarrier, FortiScan, FortiAP, FortiDB, FortiVoice and FortiWeb. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, binding specification or other binding commitment by Fortinet, and performance and other specification information herein may be unique to certain environments. This news release contains forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.

# # #

(MAR)