Cara Membasmi Virus Ramnit dengan Tuntas

Ibarat kasus korupsi yang sampai saat ini masih tetap saja mencengkeram Indonesia sampai hari ini, virus Ramnit sejatinya sudah ada sejak tahun 2010. Namun virus ini tetap tidak bisa di remehkan karena Ramnit begitu rapi dalam menginjeksi dan menjalankan dirinya sendiri. Ramnit memang sangat merepotkan korbannya, karena pada saat akan buka local disk (C:) tidak bisa karena virus ini merubahnya menjadi ekstensi ".dat" (lihat gambar 1), taskmanager juga di buatnya jadi disable, buka run juga tidak bisa. (lihat gambar 2)

gb1
Gambar 1, Local Disk tidak bisa dibuka jika terinfeksi Ramnit 

gb2
Gambar 2, Disable Task Manager 

Duh, menyusahkan ya. Tidak hanya itu [Folder Options] pun tidak dapat dibuka. Selain itu masih ada yang namanya folder discus-X pada direktori C:\ Windows\ yang jika dicari secara konvensional tidak akan ketemu, karena rupanya disembunyikan (hidden). Juga pembuatan folder "C:\Program Files\M1crosoft" (lihat gambar 3) yang bertujuan untuk mengelabui sistem komputer dan pengguna awam yang kurang jeli.

gb3
Gambar 3, Direktori M1crosoft yang dibuat Ramnit untuk mendukung aksinya 

Tidak lupa Ramnit juga membuat file yang menjadi ciri khasnya "Copy of Shortcut (1), Copy of Shortcut(2), Copy of Shortcut(3), Copy of Shortcut (4)" dan mengeksploitasi celah keamanan Microsoft Windows yang memungkinkannya untuk menginfeksi secara otomatis via USB port setiap kali UFD (USB Flash Disk) terinfeksi Ramnit dicolokkan ke komputer. Selain itu, Ramnit akan menginjeksi file yang berekstensi html dan htm. Jika anda mengelola web server atau memanfaatkan file htm dan html dalam sistem intranet anda, anda harus ekstra hati-hati.

Pada saat anda akan upload file html / htm ke website, Ramnit akan ikut serta karena sudah diinjeksikan dalam file tersebut dan secara otomatis akan menginjeksi komputer korban melaui peramban yang membuka halaman situs yang terinfeksi. Ini lah salah satu penyebab mengapa sampai saat ini Ramnit masih bertahan sebagai malware jagoan. Ibarat geng motor yang banyak menimbulkan masalah di Indonesia, selanjutnya Ramnit akan memanggil teman-temannya seperti, Sality, Alman, Virut, Conficker dan lainnya untuk masuk pada PC.

Langkah Pembersihan. 
  • Lindungi dulu UFD USB Flash Disk anda agar ramnit tidak bisa meng infeksi dengan menggunakan tools sederhana yang bisa anda buat sendiri. Caranya buka notepad dan copy-paste script berikut ini : 

    < < < awal script proteksi UFD > > > 

    echo off 

    cls 

    REM — ubah warna 
    color b 

    REM -ubah judul 
    title Proteksi USB Flash* by Vaksincom 

    cd\ 

    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    echo W32/Ramnit (win32.Siggen.8) USB Flash Protection * by Vaksincom * 
    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    echo - Tools ini digunakan untuk proteksi agar USB Flash tidak dijadikan 
    echo media penyebaran virus Ramnit 
    echo - Sebelum menjalankan tools ini, silahkan ubah lokasi drive 
    echo USB Flash pada script ini sesuai dengan lokasi drive USB Flash Anda 
    echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
    echo 

    pause 

    echo Memulai untuk proteksi USB Flash 

    cd\ 

    attrib -s -h -r h:\autorun.inf 
    del h:\autorun.inf /q 

    md \\.\h:\autorun.inf 
    attrib +s +h +r h:\autorun.inf 
    md \\.\h:\autorun.inf\con 
    md \\.\h:\autorun.inf\con\aux 
    md \\.\h:\autorun.inf\con\aux\nul.This_autorun.inf_is_PROTECT_by_Vaksincom_to_protect_your_USB-Flash_from_virus_infection 

    attrib -s -h -r h:\mso.sys 
    del h:\mso.sys /q 

    md \\.\h:\mso.sys 
    attrib +s +h +r h:\mso.sys 
    md \\.\h:\mso.sys\con 
    md \\.\h:\mso.sys\con\aux 
    md \\.\h:\mso.sys\con\aux\nul.This_mso.sys_is_PROTECT_by_Vaksincom_to_protect_your_USB-Flash_from_virus_infection 

    rmdir c:\RECYCLER /q 
    rmdir d:\RECYCLER /q 
    rmdir e:\RECYCLER /q 
    rmdir f:\RECYCLER /q 
    rmdir g:\RECYCLER /q 
    rmdir h:\RECYCLER /q 
    rmdir i:\RECYCLER /q 
    rmdir j:\RECYCLER /q 
    rmdir k:\RECYCLER /q 

    edit tulis @echo protected_by_av>c:\RECYCLER /q 
    edit tulis @echo protected_by_av>d:\RECYCLER /q 
    edit tulis @echo protected_by_av>e:\RECYCLER /q 
    edit tulis @echo protected_by_av>f:\RECYCLER /q 
    edit tulis @echo protected_by_av>g:\RECYCLER /q 
    edit tulis @echo protected_by_av>h:\RECYCLER /q 
    edit tulis @echo protected_by_av>i:\RECYCLER /q 
    edit tulis @echo protected_by_av>j:\RECYCLER /q 
    edit tulis @echo protected_by_av>k:\RECYCLER /q 

    attrib +s +h +r c:\RECYCLER 
    attrib +s +h +r d:\RECYCLER 
    attrib +s +h +r e:\RECYCLER 
    attrib +s +h +r f:\RECYCLER 
    attrib +s +h +r g:\RECYCLER 
    attrib +s +h +r h:\RECYCLER 
    attrib +s +h +r i:\RECYCLER 
    attrib +s +h +r j:\RECYCLER 
    attrib +s +h +r k:\RECYCLER 

    Del F:\Copy" "of" "Shortcut" "to" "(1)"".lnk" /q 
    Del F:\Copy" "of" "Shortcut" "to" "(2)"".lnk" /q 
    Del F:\Copy" "of" "Shortcut" "to" "(3)"".lnk" /q 
    Del F:\Copy" "of" "Shortcut" "to" "(4)"".lnk" /q 

    md h:\Copy" "of" "Shortcut" "to" "(1)"".lnk" 
    md h:\Copy" "of" "Shortcut" "to" "(2)"".lnk" 
    md h:\Copy" "of" "Shortcut" "to" "(3)"".lnk" 
    md h:\Copy" "of" "Shortcut" "to" "(4)"".lnk" 

    attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(1)".lnk" 
    attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(2)".lnk" 
    attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(3)".lnk" 
    attrib +s +h +r h:\Copy" "of" "Shortcut" "to" "(4)".lnk" 

    msg %username% /time:30 "USB Flash Anda sudah di proteksi dari virus Ramnit" 

    msg %username% /time:30 "W32/Ramnit USB Flash Protection (c) 2011-Vaksincom" 

  • < < < akhir script proteksi UFD > > > 

  • Kemudian simpan dengan nama [Save as] 'ProteksiUFD.bat' (tanpa tanda kutip), kemudian double klik untuk menjalankan tools ini. 

  • Jika Anda awam dan ingin mengetahui bagaimana langkah untuk melakukan [Save as], bisa menanyakan kepada teman atau silakan tanyakan kepada Vaksinis dengan mengirimkan email ke info@vaksin.com. 

  • Setelah itu, jalankan tools untuk melindungi UFD ini pada setiap UFD yang Anda miliki. Hal ini penting untuk mencegah UFD Anda terinfeksi Ramnit dari komputer lain dan menjadi 'agen rahasia' penyebar Ramnit.

  • Siapkan PC yang bersih dari virus dan unduh Antivirus G Data (dan manualnya) DISINI.
  • Setelah selesai, kopi dan install pada PC yang terinfeksi Ramnit. 

  • Jika Anda mengalami kesulitan/keterbatasan bandwidth untuk mengunduh file instalasi yang cukup besar, bisa meminta bantuan teman atau warnet untuk membantu mengunduhkan. 

  • Pertimbangan Vaksincom menggunakan G Data Antivirus adalah karena G Data secara otomatis akan memburu dan membasmi semua file Ramnit dengan usaha sangat minimal dari pengguna komputer. 

  • Instal G Data dan JANGAN restart! Kita update dulu antivirusnya. Jika mengalami kesulitan dalam instalasi G Data, jangan ragu untuk menghubungi Vaksincom untuk mendapatkan bantuan teknis gratis. 

  • Setelah terinstal pada komputer dan tanpa restart, G Data sudah mampu memproteksi sistem komputer anda dan dalam proses update akan secara otomatis akan mulai melakukan pembersihan terhadap file-file Ramnit yang mengganggu komputer Anda (lihat gambar 4). 

  • Namun ingat, file Ramnit yang sedang aktif belum diotak-atik karena jika dipaksa untuk dibasmi akan mengakibatkan sistem komputer crash. Untuk tahap pembersihan kedua, Anda perlu mengunggu sampai update selesai dan melakukan restart.
    • gb4 
      Gambar 4, Pada saat proses update tiba tiba muncul pop-up bahwa PC terdapat virus.

    • Setelah update selesai (lihat gambar 5) silakan restart PC agar antivirus berjalan optimal melindungi komputer dari semua ancaman malware dan membasmi file-file Ramnit yang mencoba aktif dan menginjeksi file-file sistem Windows.
  • gb5 
    Gambar 5, G Data memiliki 2 engine antivirus untuk deteksi terbaik dan dengan teknologi CloseGap membuatnya menjadi tidak menghabiskan terlalu banyak resource komputer dibandingkan antivirus lain. 

    • Setelah PC restart maka dengan sendirinya G Data akan menangkap lebih banyak antek-antek Ramnit lagi tanpa mengaktifkan full scan. Namun untuk mendeteksi malware lain yang bercokol di komputer, Anda tetap perlu menjalankan full scan pada PC. 

    • Setelah full scan selesai, dalam pengetesan yang dilakukan oleh laboratorium virus Vaksincom, hanya dalam waktu 4 jam sejak infeksi pertama kali Ramnit ini telah membuat file malware sebanyak 434 buah yang berhasil dicokok G Data (lihat gambar 6). 

    • Bayangkan berapa jumlah malware yang dalam waktu 1 hari, 1 minggu atau bahkan 1 bulan. Maka sangat disarankan jika PC sudah terinfeksi virus, sesegera mungkin bersihkan PC sebelum file virus berpesta dalam PC.

    • gb6 
      Gambar 6, G Data berhasil mendeteksi dan membasmi 434 antek-antek Ramnit yang mereplikasi dirinya dalam waktu 4 jam 
  • Langkah tambahan jika Anda memiliki file HTM atau HTML yang terinjeksi Ramnit dan mengalami kesulitan dalam pembersihannya, bisa menggunakan Chanet Splitter II yang dikembangkan oleh Yayat, kontributor Vaksincom. 

  • Tools ini berguna jika Anda memiliki banyak file .htm / .html yang jika dilakukan pembersihan manual akan memakan waktu yang sangat lama dan melelahkan. 

  • Masih ada satu langkah lagi untuk mengamankan PC dari serangan virus yang mengeksploitasi celah keamanan, Anda sangat disarankan untuk melakukan automatic update pada software yang digunakan. 

  • Dalam kasus Ramnit ini, celah keamanan yang dieksploitasi adalah (MS10-046 KB2286198) yang patchnya bisa Anda download disini.

  • *) Sumber: Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet.

    Suka dengan postingan berjudul Cara Membasmi Virus Ramnit dengan Tuntas? Nggak ada salahnya untuk berlangganan update postingan terbaru dari Blog Bang Hendra langsung via email sekarang juga. GRATISS!!!

    12 Responses to "Cara Membasmi Virus Ramnit dengan Tuntas"

    1. merepotkan juga yah ......jadi stress klw dah ramnit ke PC.

      belajar ini dulu ....sambil manggut2

      BalasHapus
    2. pembahasan yg panjang.! thx infox ya bro *smile

      BalasHapus
    3. ramnit emang virus yang sangat2 menjengkel kan.,

      makasih infonya gan, ane bookmar dulu,.

      #di tunggu kunbal nya.,

      BalasHapus
    4. kalau di NOD32 bisa terdeteksi nih

      BalasHapus
    5. ini virus buatan lokal ya

      BalasHapus
    6. kalau file dat berarti video cd

      BalasHapus
    7. siip boss pembahasannya. terima kasih sudah berbagi, Salam.

      BalasHapus
    8. Kunjungan balik, Mantap dan tuntas banget nih pembahasannya,,, oya pertanyaan sobat sudah dijawab tuh,,, Silahkan mampir.

      BalasHapus
    9. kalau ane dah nyerah sama ramnit masbro, biasanya install ulang pasti rebes.

      BalasHapus
    10. klau flasdik yang minta format terus gimana? aa ini juga kena virus?
      walau udha di format,,tetp aja pas dimasukin minta format lagi

      BalasHapus
    11. rewel banget emang nih ramnit..bikin kesel...
      thanks buat informasinya yah

      BalasHapus
    12. Akhirnya nemu juga cara hilangin virusnya di sini.
      Langsung coba dipraktekin Pak.
      Terima kasih.

      BalasHapus

    Mohon komentarnya berhubungan dengan artikel yang ada. Komentar yang mengarah ke tindakan SPAM akan dihapus atau terjaring secara otomatis oleh spam filter. Terima kasih!

    Maaf, komentar Anda dimoderasi dahulu sebelum ditampilkan.

    Chat Room

    Kamu bisa chat bareng Admin di sini dengan Messenger.
    Terima kasih

    Chat on Messenger