Lebih Berbahaya dan Ganas!, Petya adalah Wiper, bukan Ransomware

      (Aroundinformatics) : Lagi dunia keamanan komputer terancam. Pada awal-awal bulan tahun 2017 Ransomware wannaCry yang sempat menggegerkan dunia komputer di Indonesia. Kali ini giliran muncul varian baru bernama Petya. Tetapi, ada yang berbeda dari si Petya ini dibandingkan dengan wannaCry. kira-kira apa saja. Dan kenapa dia lebih berbahaya dibandingkan wannaCry.

Apa itu Petya ?

       27 Juni 2017 lebih dari 12.500 komputer di Negara ukraina terinfeksi oleh Petya.Penyebarannya dimulai dari benua Eropa dan sekitarnya terutama dekat dengan Ukraina. Sampai sekarang ada 64 negara yang terinfeksi oleh Petya diantaranya Belgia, Brazil, Rusia, Jerman, dan Amerika Serikat. (msft-mmpc).

      Sebenarnya Petya yang menyerang saat ini merupakan varian baru dari ransomware Petya versi sebelumnya (Ransom:Win32/Petya) — atau sebut saja Petya 2016. Hanya saja Petya yang ditemukan kemarin (NotPetya / Petya 2017) punya efek merusak yang jauh lebih ganas dari sebelumnya. Nama Petya ini sebetulnya kurang tepat karena pada awalnya diduga ransomware ini memiliki kesamaan dengan kode ransomware lama yang bernama Petya, namun ternyata kodenya berbeda. Maka muncullah nama pelesetan lain, seperti NotPetya, ExPetya, Goldeneye, dan seterusnya.Bahkan menurut analisa dari Kaspersky dan Comae Petya bukanlah sebuah Ransomware tetapi merupakan Wiper .

 

Seberapa bahayakah dibanding si Petya(Wiper) ini dengan WannaCry (Ransomware) ?

       oke, bayangkan ada 2 jenis penculik yang satu tujuannya hanya untuk mendapatkan uang yang satu lagi untuk membunuh sandera. Kurang lebih begitu perbandingan antara wiper dan ransomware. Wiper bertujuan untuk merusak data yang ada pada hardisk anda. Sedangkan ransomware lebih kearah meminta tebusan kepada anda terhadap data yang mereka sandera. simpelnya adalah wiper bertujuan untuk merusak, sedangkan ransomware bertujuan untuk meminta uang.

  • Biasanya ransomware akan mengenkripsi data sehingga rusak dan tidak bisa dibuka. Ransomware tersebut kemudian akan meminta uang tebusan, yang jika dibayar maka sang pembuat ransomware akan mengirimkan key dekripsi untuk mengembalikan data yang rusak karena terenkripsi. Selain itu, berbagai perusahaan security seringkali bisa membuat decryptor tool untuk keperluan mengembalikan lagi data yang terenkripsi.
  • Petya 2016 juga masih dikategorikan sebagai ransomware, karena data yang rusak akibat modifikasi MBR masih bisa direstore dan dikembalikan lagi jika korban membayar sejumlah uang.
  • Nah, Petya 2017 / NotPetya tidaklah demikian. Cara kerja Petya 2017 bukan sekedar mengenkripsi data, meminta tebusan uang, dan memberikan solusi untuk mengembalikan data. Petya kali ini dibuat dan dimodifikasi dengan tujuan yang jelas: merusak — bukan sekedar mencari uang.
  • Begitu menginfeksi, maka Petya akan langsung memodifikasi sektor di MBR hardisk. Sector pertama akan di-encode dan diletakkan di sector 34. Permasalahannya adalah, 24 sector setelah sector pertama tersebut secara sengaja di overwrite, tidak dibaca atau disimpan dimanapun. Hal ini membuat data pengguna PC yang terinfeksi akan rusak permanen, tidak bisa dikembalikan lagi, bahkan jika mereka sudah membayar uang tebusan.
  • Sekali lagi, Petya ini tidak mengenkripsi data secara langsung, tetapi melakukan enkripsi terhadap Master File Table (MFT) yang berisi indeks dan informasi setiap file tersimpan di hardisk.
  • Selain itu alamat email yang digunakan oleh Petya 2017 tidaklah aktif. Jadi meskipun para korban sudah membayar sejumlah uang, pembuat Petya tidak akan bisa dihubungi melalui email, ataupun mengirim solusi untuk mengembalikan data. Faktanya, sang pembuat Petya kemungkinan besar tidak bisa lagi mengembalikan data korban karena memang data tersebut sudah rusak permanen.
  • Terlebih lagi, personal installation key yang ditampilkan ke komputer korban tidaklah konsisten dan hanya berupa karakter random. Artinya sang pembuat Petya memang tidak berniat mengembalikan data para korbannya.
  • Jadi meskipun dibungkus seperti ransomware yang meminta tebusan uang, tetapi Petya 2017 / NotPetya merupakan Wiper — bukan sekedar ransomware seperti Petya 2016 lalu. (Kaskus)

Bagaimana penyebaran Petya ?

       Penyebaran Petya 2017 (NotPetya / Petya Wiper) ini paling kuat terjadi di wilayah Eropa, terlebih Ukraina, dimana aplikasi Medoc sangat populer disana. Beberapa pihak menyatakan sang hacker berhasil menyusupi aplikasi Medoc dengan code infeksi Petya — meskipun pihak Medoc sendiri menyatakan aplikasi mereka tidak ditunggangi oleh hacker. Penyebab infeksi lain adalah dari attachment email pishing ataupun scam, yang dibuka dengan sembarangan.

        Begitu menginfeksi komputer, maka Petya akan menggunakan berbagai cara untuk menyebar ke komputer lain di jaringan yang sama. Salah satunya menggunakan versi tweak dari Mimikatz open-source untuk mengekstrak detail akun administrator melalui memory PC. Kemudian memakai detail tersebut untuk mengeksekusi command di PC lain melalui PsExec dan WMIC.

      Selain itu Petya juga memanfaatkan celah eksploit Windows yang ditemukan oleh NSA, yaitu EternalBlue untuk menyebar luas melalui jaringan. Celah ini mengeksploit SMB, dan merupakan celah yang sama seperti yang dipakai oleh WannaCry. Petya juga menggunakan eksploit SMB lainnya dari NSA yaitu EternalRomance.

       Selain menggunakan eksploit Windows temuan NSA, Petya juga berusaha mendapatkan akses admin melalui berbagai cara lainnya, seperti menipu user yang login sebagai admin mengeksekusi attachment email berisi malware, atau memalsukan malware sebagai update aplikasi yang membutuhkan akses admin. Selain itu Petya juga berusaha menyebarkan diri melalui berbagai aplikasi populer yang mereka hijack.

      Begitu menginfeksi dan mendapatkan hak akses admin, Petya langsung memodifikasi dan melakukan rewrite MBR di hardisk, sehingga begitu booting yang berjalan bukanlah Windows, melainkan Petya dengan berbagai pesan ransom nya. Tetapi seperti yang sudah dijelaskan diatas, meskipun korban sudah membayar sejumlah uang tebusan, data mereka sebenarnya sudah rusak permanen dan tidak bisa dikembalikan lagi.

        Itulah kenapa Petya 2017 / NotPetya ini bukanlah ransomware, melainkan wiper.

Bagaimana jika sudah terlanjur kena

Jika komputer anda terinfeksi petya biasanya dia akan menampilkan pesan sebagai berikut :
    Tampilan proses scandisk palsu pun akan muncul. Ini adalah saat-saat dimana Petya berusaha merusak data kamu. Jika kamu mendapati pesan tersebut, segera matikan komputer untuk menghentikan proses tersebut. Jika komputer sudah dalam keadaan mati dan Master File Table belum sempat terenkripsi, maka data kamu masih bisa kamu selamatkan.

      Putuskan juga koneksi jaringan kabel LAN & WiFi untuk mencegah penyebaran. Kamu juga bisa menon-aktifkan macro service di Microsoft Office, serta mengaktifkan firewall untuk block port 139, 445 dan 3389 untuk sementara hingga seluruh proses backup data dan update patch di komputer lain selesai.

      Dan jika ternryata kamu udah terlambat dengan posisi semua data rusak, maka jangan pernah membayar uang tebusan. Hal ini karena varian Petya kali ini adalah Wiper, bukan ransomware. Data yang sudah rusak tidak bisa kamu perbaiki lagi meskipun kamu sudah membayar tebusan berjuta-juta rupiah.

Pencegahan terhadap Petya

  • Pastikan Windows kamu up to date dengan patch security terbaru. Karena salah satu metode penyebaran Petya ini melalui celah eksploit yang sama seperti WannaCry, maka pastikan patch MS17-010 sudah terinstall di Windows kamu.
  • Jika tidak digunakan, kamu bisa mematikan fitur SMBv1 untuk mencegah penyebaran.
  • Pastikan antivirus kamu up to date dengan database terbaru. Saat ini berbagai antivirus (termasuk Windows Defender dan Microsoft Security Essentials) sudah diupdate untuk mengenali dan mencegah infeksi Petya ini.
  • Jangan membuka dan menjalankan file attachment sembarangan – terlebih yang dikirim oleh pihak yang tidak jelas.
  • Pastikan kamu selalu rutin backup berbagai data penting, baik secara local ataupun online melalui cloud.
  • Jika kamu adalah admin dari komputer kantor, atau komputer publik, pastikan tidak memberikan akses admin kepada pengguna. Aktifkan saja user dengan privilege selain local administrator.
  • Tampilkan ekstensi file di File Explorer, sehingga kamu tidak mudah tertipu dengan attachment palsu.
  • Paling penting berdoa dan update terhadap info Petya ini.
 sumber :
  • https://www.kaskus.co.id/thread/595588909e7404d9508b4567/lebih-ganas-petya-itu-wiper-bukan-ransomware--apa-bedanya/
  • https://rahard.wordpress.com/2017/06/29/tentang-ransomware-petya/
  • http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html
  • https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
  • https://twitter.com/msuiche/status/880075102897000448
  • https://cdn.securelist.com/files/2016/04/petya_eng_12.png
  • https://blog.malwarebytes.org/wp-content/uploads/2016/03/decrypting_petya.png

Komentar

Posting Komentar