RANSOMWARE
Prof. dr.H.Abdul Kadir, Ph.D, Sp. THT-KL(K), MARS
Direktur Utama Rumah Sakit Kanker “Dharmais”
M a l w a r e
Adalah perangkat lunak yang diciptakan untuk menyusup atau
merusak sistem komputer, server atau jejaring komputer.
Sebelum istilah Malware diperkenalkan oleh Yisrael Radai pada
tahun 1990, Malware disebut sebagai virus komputer. Malware
berisi berupa kode mesin yang menginfeksi beberapa aplikasi,
utilitas, atau program sistem yang ada, atau bahkan kode yang
digunakan untuk boot sistem komputer
Malicious Software (Malware)
Ransomware
3
Malware yang melakukan serangan pemerasan cryptoviral
dari cryptovirology yang memblokir akses ke data komputer
sampai uang tebusan dibayarkan dan menampilkan pesan
yang meminta pembayaran untuk membukanya
Ransomware “WannaCry”
4
Penyebaran awal melalui
email yang telah
terinfeksi
Penyebaran Awal
Secara beratahap meng-ecrypt
data – data yang ada di
komputer
Infeksi Data
Komputer awal akan
terinfeksi begitu email
dibuka
Infeksi Komputer
Setelah salah satu komputer
terinfeksi, maka Ransomware
akan menyebar melalui
jaringan internet maupun LAN
Penyebaran LAN
5
Kronologi Kejadian Tanggal 13 Mei 2017
Pada pukul 05.00 WIB, adanya
laporan dari petugas di Rawat Inap,
IGD dan Patologi Klinik, timbul
tampilan seperti disamping pada
layar monitor
KERUSAKAN YANG DITIMBULKAN
6
1. Aplikasi Sistem Informasi Rumah Sakit (SIRS) tidak dapat
diakses
2. Aplikasi antrian terinfeksi
3. Aplikasi bed management terinfeksi
4. Aplikasi Bridging InaCBG tidak dapat diakses
5. Aplikasi BMN terinfeksi
KERUSAKAN SISTEM INFORMASI
KERUSAKAN YANG DITIMBULKAN
7
1. Database Online Dan Antrian terinfeksi
2. Database Bed Management terinfeksi
3. Database InaCBG
4. Database Aplikasi BMN terinfeksi
5. Data personil yang berada di komputer
KERUSAKAN DATA
Cara Penanganan Ransomware
8
Instal Ulang PC Yang Terinfeksi
Update security pada windows anda dengan install Patch
MS17-010 yang dikeluarkan oleh microsoct.
Update Security
Non aktifkan fungsi SMB v1
Non aktifkan fungsi macros
Menonaktifkan Fitur
Block 139/445 & 3389 Ports
Block Port
1
2
3
4
Termasuk menghapus data yang telah terinfeksi
01 02 03 04
KEGIATAN SABTU, 13 MEI 2017
9
Menonaktifkan jaringan
internet maupun yang
terhubung SIRS di
seluruh Rumah Sakit
Kanker “Dharmais”
Non Aktif Jaringan
Memeriksa database
dan aplikasi SIRS
Memastikan database
dan mengamankan
server yang tidak
terinfeksi
Cek Database
Menginformasikan unit
pelayanan yang
beroperasi untuk
melakukan proses
pelayanan melalui
manual
Pelayanan Manual
Melakukan identifikasi
pada komputer yang
berada di pelayanan
Memisahkan antara
yang terinfeksi dan tidak
Identifikasi
TERCATAT SEKITAR 60
PC YANG TERINFEKSI
DARI 601 TOTAL PC
DATA BASE PASIEN AMAN,
SERVER KECIL TERINFEKSI
01 02 03 04
KEGIATAN SABTU, 13 MEI 2017
10
Mengaktifkan akses
SIRS hanya untuk
komputer yang tidak
terinfeksi dan telah
dilakukan update
antivirus dan patch
Pembatasan Akses
Melakukan koordinasi
dengan KEMKES,
KOMINFO dan PERSI
untuk melakukan
langkah selanjutnya
Koordinasi
Menginformasikan
untuk seluruh
karyawan agar
melakukan backup
data yang berada di
komputer pada
tanggal 14 Mei 2017
Informasi
Melakukan backup
database dan
aplikasi SIRS
Backup
11 The Power of PowerPoint | thepopp.com
Koordinasi semua tim terkait
Informasi kepada masyarakat
IDENTIFIKASI SEMUA KOMPUTER
DATA YANG SUDAH
KENA VIRUS
KEGIATAN MINGGU, 14 MEI 2017
Infeksi Ransomware
Informasi Pada Publik
1. Mengidentifikasi komputer yang terinfeksi dan tidak
2. Melakukan instalasi ulang dan update antivirus pada komputer yang terinfeksi
3. Melakukan update antivirus yang tidak terinfeksi
Membuat informasi kepada masyrakat dan media massa
berupa banner atau spanduk sebagai permintaan maaf atas
gangguan akibat “Ransomeware”
Backup Data
Menginformasikan pada seluruh karyawan Rumah Sakit Kanker “Dharmais”
agar melakukan backup data yang terdapat pada komputer dan mencabut
jaringan yang terkoneksi pada komputer
KEGIATAN SENIN,15 MEI 2017
13
1 Menempatkan personil IT pada titik
pelayanan untuk memantau pelayanan
dan penyebaran Ransomware
Pendampingan
Akses SIRS hanya diberikan pada komputer yang telah dibersihkan Apabila belum dilakukan pembersihan maka kabel jaringan tidak terkoneksi
Membatasi Akses SIRS
Menonaktifkan jaringan lokal maupun
internet pada gedung Manajemen
Menonaktifkan Jaringan
Melakukan identifikasi titik pelayanan
yang terganggu dan terinfeksi
Identifikasi
2
3 4
KEGIATAN SENIN, 15 MEI 2017
INFORMASI KEPADA PUBLIK
PELAYANAN TETAP BERJALAN SECARA MANUAL
WAWANCARA MEDIA DAN BARESKRIM
Kegiatan Selasa, 16 Mei 2017
15
Unit pelayanan melaporkan bahwa muncul kembali
tampilan “Ransomware”
Serangan Kembali/Penyebaran Gedung Litbang
Segera menonaktifkan jaringan dan menginformasikan
menggunakan manual
Non Aktif Jaringan
Melakukan pembersihan kembali dari komputer
yang telah terinfeksi
Menarik Komputer Terinfeksi
Melakukan Backup terbaru dari Database dan aplikasi SIRS
Backup
1
2
3
4
KEGIATAN 16 MEI 2017
16
Adanya laporan penyembaran
kembali Ransomware
Identifikasi Penyebaran
2
Menonaktifkan jaringan dan
menginformasikan pelayanan dilakukan
secara manual
Non Aktif Jaringan
Melakukan pembersihan pada
seluruh komputer baik terinfeksi
maupun tidak
Penarikan Komputer
1
3
17
Pemasangan perangkat Firewall
sebagai pengaman dari
pengaksesan SIRS
Pemasangan Firewall
5
Melakukan setting dan
pemasangan kembali komputer
yang telah dibersihkan
Pemasangan
4
PERTANGGAL 21 MEI 2017 :
JUMLAH KOMPUTER : 601
JUMLAH KOMPUTER YANG DIBERSIHKAN : 375
JUMLAH KOMPUTER YANG BELUM DIBERSIHKAN : 226
JUMLAH PERSONIL : SIMRS : 20 Orang, Bantuan Dari Luar : 9 Orang
TOTAL PERBAIKAN
KOORDINASI PARA PAKAR
18
RUBY ALAMSYAH
TELKOM SIGMA
BANTUAN TENAGA
DARYA VARIA
BANTUAN JARINGAN DAN TENAGA
LINTAS ARTHA
1
2
3
4
Digital forensik Indonesia/ Pakar IT
BANTUAN FIREWALL
01 02 03
04 05 06
DONE ACTION
The Power of PowerPoint | thepopp.com 19
Melaporkan kepada DIRJEN
YANKES tentang kejadian ini
sebagai kejadian luar biasa
MELAPORKAN BARESKRIM PELAYANAN MANUAL
INSTAL ULANG BACK UP DATA
Memberikan keterangan
kepada BARESKRIM POLDA
METRO JAYA terkait cyber
crime
Seluruh pelayanan tetap
dilakukan meskipun secara
manual
Instal ulang semua komputer,
kurang lebih 600 buah
ENTRY DATA
Melakukan kembali entry data
pelayanan selama 1 minggu
LANGKAH – LANGKAH PENCEGAHAN
20
Perangkat ini dapat mendeteksi penyebaran virus dan
mencegah penyebaran virus pada jaringan
Memasang Firewall
Dengan mengurangi berbagi file melalui jaringan,
mengurangi penyebaran virus
Menutup Fitur Sharing
Melakukan instalasi Linux di titik pelayanan dan Server
Instalasi Linux
Melakukan Backup Database dan Aplikasi secara
periodik
Backup Data
1
2
3
4
RUMAH SAKIT KANKER DHARMAIS
+62-21-5681570
Jl. Let. Jend. S. Parman Kav. 84-86, Slipi, Jakarta Barat 11420
T E R I M A K A S I H