b. Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
Untuk mengetahui telah terjadi akses illegal, maka sekali lagi administrator perlu memeriksa event viewer dengan event id 4624, dengan mencocokan apakah benar orang yang trusted melakukan login ke server pada saat tersebut.
PENANGANAN
Jika kita dari audit akses tersebut ditemukan akses illegal maka lakukan Langkah berikut :
- Disable Account User tersebut
- Hubungi Pemilik Account
- Periksa Traffic Jaringan Keluar/masuk
- Tutup Port jika ditemukan Anomali
- Pastikan Filewall dalam keadaan Aktif
c. Hacker telah mengganti password dan mematikan user Administrators dan mematikan service-service.
Pada tahap ini jelas sekali tanda gejalanya,
- Aplikasi di client tidak berjalan
- kita tidak dapat login ke server milik kita
- Server dalam keadaan hidup dan jaringan normal
PENANGANAN
Jika terjadi gejala seperti ini, maka kita segera melakukan Langkah sebagai berikut :
- Datang atau menghubungi petugas onsite
- mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
- Tutup Semua Koneksi Jaringan menuju Server
- Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
- Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
- Perhatikan dengan jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
- Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
- Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
- Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
- Pastikan tidak ada File-File asing dalam server.
Pada FASE PERTAMA ini data-data dalam server Insyaa Allah masih dalam keadaan aman, belum terkena encrypted.
2. Berikut gejala-gejala yang terjadi pada server pada saat hacker masuk tahap FASE KEDUA
Gejala-gejala pada FASE KEDUA adalah sebagai berikut :
- Kita sudah tidak dapat login ke windows server
- Ketika masih dalam tahap encrypted file, Server terlihat sibuk, Prosesor terutama hardisk indicator terlihat beroperasi sangat kencang
- Ketika Proses Encrypted telah selesai terlihat server indicator sudah tidak terlalu sibuk
PENANGANAN
Jika terjadi gejala seperti berikut ambil Langkah cepat dan jangan ragu untuk MEMATIKAN SERVER,
- Datang atau menghubungi petugas onsite
- mematikan Server secara paksa, dapat dilakukan dengan menekan tombol power sekitar 30 detik atau dengan mencabut paksa kabel power server
- Tutup semua Akses Jaringan menuju Server
- Menghidupkan kembali server dan mencoba Kembali login dengan password yang kita ketahui, jika tidak juga berhasil maka kita matikan Kembali server.
- Menyiapkan dan menjalankan aplikasi reset password windows, booting menggunakan flashdisk
- Perhatikan dengan jelas user-user account yang terbaca oleh aplikasi tersebut dan lakukan penghapusan account yang tidak dikenali, dan lakukan reset password atau membuat user account administrator baru.
- Setelah sukses mereset password dan atau membuat account baru, jalankan kembali Server
- Login ke Server dan periksa dengan Seksama apa yang terlah terjadi di server.
- Pastikan service-service berjalan normal dan sekali lagi periksa event viewer
- Pastikan tidak ada File-File asing dalam server.
- Pastikan File-File data penting masih dalam keadaan Normal, jika ternyata semua sudah terencrypted maka satu-satunya Solusi adalah menggunakan APLIKASI DISK RECOVERY untuk mengangkat data yang telah TERHAPUS, ingat windows sebetulnya tidak bener-bener menghapus data walaupun di recycle bin sudah terhapus, ada banyak software DISK RECOVERY yang bisa kita coba hanya saja butuh effort lebih, krn file tersebut akan kita temukan bukan lagi dengan nama aslinya, bisa jadi sudah dalam nama lain yang dikodekan oleh windows, saya belum pernah mencoba sampai tahapan ini dalam FASE KEDUA, tapi kuat dugaan saya virus menhapus file asli dan mengganti dengan file hasil encrypted dengan nama yang sama.
- Jika ternyata memang tidak dapat lagi diselamatkan via DISK Recovery Langkah terakhir menggunakan Server Backup dan Data Backup.
Kenapa Server harus DIMATIKAN PAKSA, karena Ketika ternyata virus masih dalam Proses Encrypted dan tiba-tiba server mati, maka semua proses encrypted akan terhenti, dan File Asli kemungkinan besar belum terhapus.
IV. PENCEGAHAN
Pencegahan perlu dilakukan sebelum terjadi serangan, berikut Langkah-langkah dasar yang wajib dilakukan tanpa menambah pengadaan perangkat khusus :
1. MENGAMANKAN WINDOWS
a. Membuat Account Administrators Baru
Membuat account dengan Previlege Administrators baru dengan WAJIB mengisi kolom description yang berbeda dengan User name,
kolom description merupakan caption yang akan tampil Ketika kita akan login di windows, jika tidak di isi maka default akan menampilkan User Name dan jika User Name diketahui oleh orang lain maka server kita dapat dengan mudah di Brute Force untuk mendapatkan passwordnya.
Dimana metode brute force sipelaku harus mengetahui User Name terlebih dahulu untuk mempermudah mendapatkan password target.
Membuat User name dengan nama yang sulit dilihat secara kasat mata, kalau saya bisanyanya menggunakan underscore “_” atau Spasi “ “ dengan jumlah yang cukup banyak secara berturut seperti berikut “_______” (ada berapa underscore yang tampak ?)
Membuat password yang komplek/rumit.