3 Perusahaan Indonesia Jadi Korban Ransomware, Diminta Tebus Bitcoin
Alfons menjelaskan bahwa yang diserang oleh ransomware adalah sistem ESXi. Sehingga apapun sistem operasi yang di virtualisasi oleh sistem ESXi akan dienkripsi, baik OS Windows, Mac OS maupun Linux.
Sistem tersebut berfungsi sebagai server virtualisasi, "maka satu server ESXi ini biasanya lebih mengelola kombinasi dari berbagai OS seperti Windows server, Windows workstation, Mac OS dan Linux," katanya.
Jika server ESXi berhasil dieksploitasi, tidak hanya OS yang akan dienkripsi, tetapi semua data yang terkandung dalam OS tersebut juga akan ikut terenkripsi.
Alfons menyarankan hal ini menjadi perhatian pada administrator untuk disiplin melakukan backup data penting secara teratur.
"Jika anda mengelola server ESXi dan menjadi korban enkripsi ransomware ini, hubungi vendor antivirus atau sekuriti anda untuk membantu proses recovery dan proses pencegahan eksploitasi dan aksi ransomware," kata Alfons.
Disarankan untuk menggunakan antivirus yang handal dan solusi yang dapat melakukan restore data sekalipun sudah di enkripsi oleh Vaksin Protect.
Untuk menghindari serangan ransomware ARGS ini, pengguna server ESXi perlu melakukan update versi server ESXi yang digunakan sebagai berikut :
- ESXi versi 7.0 update minimal ke versi ESXi70U1c-17325551
- ESXi versi 6.7 update minimal ke versi ESXi670-202102401-SG
- ESXi versi 6.5 update minimal ke versi ESXi650-202102101-SG
Selain itu, Alfons menyarankan untuk menonaktifkan SLP (Service Location Protocol) services jika tidak diperlukan. Karena layanan ini disebut memungkinkan sarana eksploitasi.
Cara menonaktifkan SLP services dengan langkah sebagai berikut :
- Login pada ESXi host.
- Hentikan SLP service dengan perintah: /etc/init.d/slpd stop
- Jalankan perintah untuk menonaktifkan SLP service: esxcli network firewall ruleset set -r CIMSLP -e 0
- Pastikan SLP service tetap non aktif sekalipun sistem di reboot dengan perintah: chkconfig slpd off
