Menurut sebuah analisis baru, varian baru dari Petya dirancang agar terlihat seperti ransomware namun merupakan wiper malware yang menghapus komputer secara langsung, menghancurkan semua catatan dari sistem yang ditargetkan.
Pendiri Comae Technologies, Matt Suiche, yang secara ketat melihat operasi malware tersebut, mengatakan setelah menganalisis virus tersebut, yang dikenal sebagai Petya, timnya menemukan bahwa itu adalah wiper malware, bukan ransomware.
Pakar keamanan bahkan percaya bahwa serangan sebenarnya telah disamarkan untuk mengalihkan perhatian dunia dari serangan yang disponsori negara di Ukraina terhadap wabah malware.
“Kami percaya bahwa ransomware sebenarnya adalah daya tarik untuk mengendalikan narasi media, terutama setelah insiden WannaCry, untuk menarik perhatian pada beberapa kelompok hacker misterius daripada penyerang negara nasional,” tulis Suiche.
Apakah Petya Ransomware Gagal atau Over Smart?
Petya adalah malware yang tidak seperti ransomware tradisional lainnya, tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.
Sebaliknya, Petya mereboot komputer korban dan mengenkripsi master boot record (MFT) hard drive dan membuat master boot record (MBR) tidak dapat beroperasi, membatasi akses ke sistem penuh dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi pada disk fisik.
Kemudian Petya ransomware mengambil salinan MBR yang dienkripsi dan menggantinya dengan kode berbahaya yang menampilkan catatan tebusan, sehingga komputer tidak dapat melakukan booting.
Namun, varian baru Petya ini tidak menyimpan salinan MBR yang diganti. Entah ini keliru atau sengaja, penyerang membiarkan komputer yang terinfeksi tidak bisa boot meski korban mendapatkan kunci dekripsi.
Selain itu, setelah menginfeksi satu mesin, Petya memindai jaringan lokal dan dengan cepat menginfeksi semua mesin lain (yang bahkan sepenuhnya di patch) pada jaringan yang sama, menggunakan alat EternalBlue SMB exploit, WMIC dan PSEXEC.
Jangan Bayar Uang Tebusan, Kamu Tidak Akan Mendapatkan File Kembali
Sejauh ini, hampir 45 korban telah membayar total $10,500 di Bitcoin dengan harapan bisa mendapatkan file terkunci mereka kembali, tapi sayangnya tidak.
Itu karena alamat email, yang disiapkan oleh penyerang untuk berkomunikasi dengan korban untuk mengirim kunci dekripsi, diblokir oleh penyedia email Jerman sesaat setelah wabah.
Artinya, meski korban membayar uang tebusan, mereka tidak akan pernah bisa memulihkan file mereka. Periset Kaspersky juga mengatakan hal yang sama.
“Analisis kami menunjukkan ada sedikit harapan bagi korban untuk memulihkan data mereka. Kami telah menganalisis kode enkripsi tingkat tinggi, dan kami telah mengetahui bahwa setelah enkripsi disk, aktor ancaman tidak dapat mendekripsi disk korban,“ Kata perusahaan keamanan.
“Untuk mendekripsi disk korban, aktor ancaman memerlukan ID penginstalan. Pada versi sebelumnya yang ‘mirip’ seperti troans seperti Petya/Mischa/GoldenEye, ID penginstalan ini berisi informasi yang diperlukan untuk kunci pemulihan.“
Jika klaim yang dibuat oleh peneliti benar bahwa varian baru Petya adalah malware yang dirancang untuk menutup dan mengganggu layanan di seluruh dunia, malware tersebut telah berhasil menyelesaikan tugasnya.
Namun, masih spekulasi, virus tersebut terutama dan secara besar-besaran menargetkan beberapa entitas di Ukraina, termasuk metro lokal negara itu, bandara Boryspil, bandara Kiev, pemasok listrik, bank sentral, dan telekomunikasi negara.
Negara lain yang terinfeksi virus Petya termasuk Rusia, Prancis, Spanyol, India, China, Amerika Serikat, Brasil, Cile, Argentina, Turki dan Korea Selatan.
Bagaimana Petya Masuk Ke Komputer Pertama Kali?
Menurut penelitian yang dilakukan oleh Talos Intelligence, perusahaan kecil yang terkenal di Ukraina, MeDoc kemungkinan merupakan sumber utama wabah malware global kemarin.
Periset mengatakan bahwa virus tersebut mungkin telah menyebar melalui pembaruan perangkat lunak berbahaya ke sistem akuntansi pajak Ukraina yang disebut MeDoc, meskipun MeDoc telah membantah tuduhan tersebut dalam sebuah posting Facebook yang panjang.
“Pada saat memperbarui program, sistem tidak bisa terinfeksi virus langsung dari file update,” versi terjemahan posting MeDoc berbunyi. “Kami dapat berpendapat bahwa pengguna sistem MeDoc tidak dapat menginfeksi PC mereka dengan virus pada saat memperbarui program.“
Namun, beberapa periset keamanan dan bahkan Microsoft setuju dengan temuan Talos, mengatakan bahwa MeDoc telah melanggar dan virus tersebut menyebar melalui pembaruan.
