RANSOMWARE

Prof. dr.H.Abdul Kadir, Ph.D, Sp. THT-KL(K), MARS

Direktur Utama Rumah Sakit Kanker “Dharmais”

M a l w a r e

Adalah perangkat lunak yang diciptakan untuk menyusup atau

merusak sistem komputer, server atau jejaring komputer.

Sebelum istilah Malware diperkenalkan oleh Yisrael Radai pada

tahun 1990, Malware disebut sebagai virus komputer. Malware

berisi berupa kode mesin yang menginfeksi beberapa aplikasi,

utilitas, atau program sistem yang ada, atau bahkan kode yang

digunakan untuk boot sistem komputer

Malicious Software (Malware)

Ransomware

3

Malware yang melakukan serangan pemerasan cryptoviral

dari cryptovirology yang memblokir akses ke data komputer

sampai uang tebusan dibayarkan dan menampilkan pesan

yang meminta pembayaran untuk membukanya

Ransomware “WannaCry”

4

Penyebaran awal melalui

email yang telah

terinfeksi

Penyebaran Awal

Secara beratahap meng-ecrypt

data – data yang ada di

komputer

Infeksi Data

Komputer awal akan

terinfeksi begitu email

dibuka

Infeksi Komputer

Setelah salah satu komputer

terinfeksi, maka Ransomware

akan menyebar melalui

jaringan internet maupun LAN

Penyebaran LAN

5

Kronologi Kejadian Tanggal 13 Mei 2017

Pada pukul 05.00 WIB, adanya

laporan dari petugas di Rawat Inap,

IGD dan Patologi Klinik, timbul

tampilan seperti disamping pada

layar monitor

KERUSAKAN YANG DITIMBULKAN

6

1. Aplikasi Sistem Informasi Rumah Sakit (SIRS) tidak dapat

diakses

2. Aplikasi antrian terinfeksi

3. Aplikasi bed management terinfeksi

4. Aplikasi Bridging InaCBG tidak dapat diakses

5. Aplikasi BMN terinfeksi

KERUSAKAN SISTEM INFORMASI

KERUSAKAN YANG DITIMBULKAN

7

1. Database Online Dan Antrian terinfeksi

2. Database Bed Management terinfeksi

3. Database InaCBG

4. Database Aplikasi BMN terinfeksi

5. Data personil yang berada di komputer

KERUSAKAN DATA

Cara Penanganan Ransomware

8

Instal Ulang PC Yang Terinfeksi

Update security pada windows anda dengan install Patch

MS17-010 yang dikeluarkan oleh microsoct.

Update Security

Non aktifkan fungsi SMB v1

Non aktifkan fungsi macros

Menonaktifkan Fitur

Block 139/445 & 3389 Ports

Block Port

1

2

3

4

Termasuk menghapus data yang telah terinfeksi

01 02 03 04

KEGIATAN SABTU, 13 MEI 2017

9

Menonaktifkan jaringan

internet maupun yang

terhubung SIRS di

seluruh Rumah Sakit

Kanker “Dharmais”

Non Aktif Jaringan

Memeriksa database

dan aplikasi SIRS

Memastikan database

dan mengamankan

server yang tidak

terinfeksi

Cek Database

Menginformasikan unit

pelayanan yang

beroperasi untuk

melakukan proses

pelayanan melalui

manual

Pelayanan Manual

Melakukan identifikasi

pada komputer yang

berada di pelayanan

Memisahkan antara

yang terinfeksi dan tidak

Identifikasi

TERCATAT SEKITAR 60

PC YANG TERINFEKSI

DARI 601 TOTAL PC

DATA BASE PASIEN AMAN,

SERVER KECIL TERINFEKSI

01 02 03 04

KEGIATAN SABTU, 13 MEI 2017

10

Mengaktifkan akses

SIRS hanya untuk

komputer yang tidak

terinfeksi dan telah

dilakukan update

antivirus dan patch

Pembatasan Akses

Melakukan koordinasi

dengan KEMKES,

KOMINFO dan PERSI

untuk melakukan

langkah selanjutnya

Koordinasi

Menginformasikan

untuk seluruh

karyawan agar

melakukan backup

data yang berada di

komputer pada

tanggal 14 Mei 2017

Informasi

Melakukan backup

database dan

aplikasi SIRS

Backup

11 The Power of PowerPoint | thepopp.com

Koordinasi semua tim terkait

Informasi kepada masyarakat

IDENTIFIKASI SEMUA KOMPUTER

DATA YANG SUDAH

KENA VIRUS

KEGIATAN MINGGU, 14 MEI 2017

Infeksi Ransomware

Informasi Pada Publik

1. Mengidentifikasi komputer yang terinfeksi dan tidak

2. Melakukan instalasi ulang dan update antivirus pada komputer yang terinfeksi

3. Melakukan update antivirus yang tidak terinfeksi

Membuat informasi kepada masyrakat dan media massa

berupa banner atau spanduk sebagai permintaan maaf atas

gangguan akibat “Ransomeware”

Backup Data

Menginformasikan pada seluruh karyawan Rumah Sakit Kanker “Dharmais”

agar melakukan backup data yang terdapat pada komputer dan mencabut

jaringan yang terkoneksi pada komputer

KEGIATAN SENIN,15 MEI 2017

13

1 Menempatkan personil IT pada titik

pelayanan untuk memantau pelayanan

dan penyebaran Ransomware

Pendampingan

Akses SIRS hanya diberikan pada komputer yang telah dibersihkan Apabila belum dilakukan pembersihan maka kabel jaringan tidak terkoneksi

Membatasi Akses SIRS

Menonaktifkan jaringan lokal maupun

internet pada gedung Manajemen

Menonaktifkan Jaringan

Melakukan identifikasi titik pelayanan

yang terganggu dan terinfeksi

Identifikasi

2

3 4

KEGIATAN SENIN, 15 MEI 2017

INFORMASI KEPADA PUBLIK

PELAYANAN TETAP BERJALAN SECARA MANUAL

WAWANCARA MEDIA DAN BARESKRIM

Kegiatan Selasa, 16 Mei 2017

15

Unit pelayanan melaporkan bahwa muncul kembali

tampilan “Ransomware”

Serangan Kembali/Penyebaran Gedung Litbang

Segera menonaktifkan jaringan dan menginformasikan

menggunakan manual

Non Aktif Jaringan

Melakukan pembersihan kembali dari komputer

yang telah terinfeksi

Menarik Komputer Terinfeksi

Melakukan Backup terbaru dari Database dan aplikasi SIRS

Backup

1

2

3

4

KEGIATAN 16 MEI 2017

16

Adanya laporan penyembaran

kembali Ransomware

Identifikasi Penyebaran

2

Menonaktifkan jaringan dan

menginformasikan pelayanan dilakukan

secara manual

Non Aktif Jaringan

Melakukan pembersihan pada

seluruh komputer baik terinfeksi

maupun tidak

Penarikan Komputer

1

3

17

Pemasangan perangkat Firewall

sebagai pengaman dari

pengaksesan SIRS

Pemasangan Firewall

5

Melakukan setting dan

pemasangan kembali komputer

yang telah dibersihkan

Pemasangan

4

PERTANGGAL 21 MEI 2017 :

JUMLAH KOMPUTER : 601

JUMLAH KOMPUTER YANG DIBERSIHKAN : 375

JUMLAH KOMPUTER YANG BELUM DIBERSIHKAN : 226

JUMLAH PERSONIL : SIMRS : 20 Orang, Bantuan Dari Luar : 9 Orang

TOTAL PERBAIKAN

KOORDINASI PARA PAKAR

18

RUBY ALAMSYAH

TELKOM SIGMA

BANTUAN TENAGA

DARYA VARIA

BANTUAN JARINGAN DAN TENAGA

LINTAS ARTHA

1

2

3

4

Digital forensik Indonesia/ Pakar IT

BANTUAN FIREWALL

01 02 03

04 05 06

DONE ACTION

The Power of PowerPoint | thepopp.com 19

Melaporkan kepada DIRJEN

YANKES tentang kejadian ini

sebagai kejadian luar biasa

MELAPORKAN BARESKRIM PELAYANAN MANUAL

INSTAL ULANG BACK UP DATA

Memberikan keterangan

kepada BARESKRIM POLDA

METRO JAYA terkait cyber

crime

Seluruh pelayanan tetap

dilakukan meskipun secara

manual

Instal ulang semua komputer,

kurang lebih 600 buah

ENTRY DATA

Melakukan kembali entry data

pelayanan selama 1 minggu

LANGKAH – LANGKAH PENCEGAHAN

20

Perangkat ini dapat mendeteksi penyebaran virus dan

mencegah penyebaran virus pada jaringan

Memasang Firewall

Dengan mengurangi berbagi file melalui jaringan,

mengurangi penyebaran virus

Menutup Fitur Sharing

Melakukan instalasi Linux di titik pelayanan dan Server

Instalasi Linux

Melakukan Backup Database dan Aplikasi secara

periodik

Backup Data

1

2

3

4

RUMAH SAKIT KANKER DHARMAIS

+62-21-5681570

Jl. Let. Jend. S. Parman Kav. 84-86, Slipi, Jakarta Barat 11420

T E R I M A K A S I H