Zonacerdas.net - Serangan virus WannaCry belum berhenti sampai hari ini, telah banyak korban yang melaporkan virus tersebut dan telah banyak juga para peneliti menemukan jenis-jenis terbaru dari WannaCry ini. WannaCry sendiri telah tersebar (sampel) dengan domain serta fungsi "Kill-Switch" yang berbeda dan tanpa fungsi Kill-Switch. Fungsi Kill-Switch merupakan:
- Kondisi sebuah program akan dijalankan (proses infeksi) ketika satu atau beberapa kondisi dipenuhi.
- Alat yang disertakan pada virus WannaCry itu sendiri sebagai alat untuk menghentikannya atau mematikannya.
- Teknik penyebaran yang unik yaitu dengan penggunaan nama domain (seperti zonacerdas.net, facebook.com, dan lainnya) yang tidak terdaftar. Cara kerjanya seperti berikut ini:
 |
| Gambar 1. Cara Kerja Penyebaran Virus WannaCry. |
Pada gambar diatas dapat dilihat bahwa alur pertama dimulai dari sipelaku yang menyebarkan virus WannaCry melalui jaringan internet. Selanjutnya WannaCry akan menginfeksi salah satu atau beberapa komputer yang terhubung ke jaringan melalui kelemahan yang dimiliki komputer korban (Pengguna 1). Komputer yang terkena WannaCry akan melakukan proses penyebaran dengan cara memanggil/melakukan koneksi kesebuah nama domain (tidak terdaftar) yang sudah tersembunyi dikomputer korban. Jika koneksi berhasil maka virus ini tidak akan tersebar, namun jika gagal maka akan melakukan perusakan sistem dan penyebaran ke jaringan internet atau jaringan yang terhubung dengannya. WannaCry dari Pengguna 1 ini akan mencari target baru, misalnya mendapatkan target Pengguna 3 maka komputer Pengguna 3 akan melakukan hal sama seperti komputer Pengguna 1. Proses ini terjadi terus menerus selama virus WannaCry terus berhasil menyebar.
Baca Juga:
Perkenalkan Virus Baru Ransomware WannaCry
Kenali Gejala dan 5 Langkah Pencegahan Virus Ransomware WannaCry
Baca Juga:
Perkenalkan Virus Baru Ransomware WannaCry
Kenali Gejala dan 5 Langkah Pencegahan Virus Ransomware WannaCry
Berdasarkan alur diatas, maka dapat dilakukan satu tindakan yaitu mendaftarkan domain yang tersembunyi tersebut. Tentunya untuk mengetahui nama domain yang akan dituju harus memerlukan keahlian tersendiri untuk menemukan dikomputer korban. Hal ini pernah dilakukan oleh seseorang yang menamakan dirinya sebagai MalwareTech, dengan tidak sengaja mendaftarkan domain tersebut sehingga penyebaran warm tersebut berhenti.
Contohnya :
Hxxp: // www . Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea . com
Nama domain yang tersembunyi memiliki nama yang berbeda-beda disetiap komputer korban. Sebagai contohnya, Seorang peneliti keaman yaitu Matthieu Suiche telah mengkonfirmasi bahwa dia telah menemukan domain baru dengan fungsi Kill-Switch. Nama domain tersebut di daftarkan untuk memperlambat infeksi.
Nama Domainnya:
Hxxp: // ifferfsodp9ifjaposdfjhgosurijfaewrwergwea . Com
Virus WannaCry sebenarnya memiliki alat untuk menghentikannya (seperti kode deskripsi yang dijelaskan diatas) namun ternyata ada beberapa WannaCry yang tidak menyertakan alat untuk menghentikannya/mematikannya (Kill-Switch). Informasi ini di beritakan oleh Costin Raiu. Costin Raiu merupakan seorang direktur tim riset dan analisis global di Kaspersky Labs yang mengabarkan bahwa timnya menemukan beberapa WannaCry tidak menyertakan/memiliki alat untuk mematikannya.
Bagaimana Perkembangan WannaCry ?
Perkembangan virus WannaCry sangat pesat dengan ditandainya banyak temuan sampel dari WannaCry. Setiap sampel memiliki perbedaan-perbedaan tersendiri, seperti ada yang menyertakan Kill-Swicth dan ada juga yang tidak menyertakan Kill-Switch. Perkembangan dari virus ini disebabkan karena banyak pihak-pihak yang memanfaatkan sampel virus awal dari pembuat pertama dan dirubah dengan membuang atau menambahkan sesuatu pada sampel virus tersebut. Sehinga muncul versi-versi dari WannaCry seperti WannaCry versi 1.0 dan WannaCry versi 2.0.
 |
| Gambar 2. Perkembangan Virus WannaCry |
Referensi:
