Menurut beberapa sumber, varian baru dari ransomware Petya, yang juga dikenal sebagai Petwrap, menyebar dengan cepat dengan bantuan kerentanan Windows SMBv1 yang sama dengan ransomware WannaCry yang menyalahgunakan untuk menginfeksi 300.000 sistem dan server di seluruh dunia hanya dalam 72 jam.
Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That's why patched systems can get hit.
— @mikko (@mikko) June 27, 2017
Petya merupakan ransomware yang buruk dan bekerja sangat berbeda dari malware ransomware lainnya. Tidak seperti ransomware tradisional lainnya, Petya tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.
Sebaliknya, Petya mereboot komputer korban dan mengenkripsi master file table (MFT) hard drive dan membuat master boot record (MBR) tidak dapat beroperasi, membatasi akses ke sistem secara penuh dengan menyita informasi tentang nama file, ukuran, dan lokasi pada disk fisik.
Petya mengganti MBR komputer dengan kode berbahaya yang menampilkan catatan tebusan dan membuat komputer tidak dapat melakukan booting.
Jangan Bayar Ransom, Kamu Tidak Akan Mendapatkan Kembali File
Pengguna yang terinfeksi disarankan untuk tidak membayar uang tebusan karena hacker di balik ransomware Petya tidak bisa mendapatkan email dari korban lagi.
Posteo, penyedia email Jerman, telah menangguhkan alamat emailnya yaitu [email protected], yang digunakan oleh dalang Petya untuk berkomunikasi dengan korban setelah mendapatkan uang tebusan untuk mengirim kunci dekripsi.
Pada saat penulisan artikel ini, 23 korban telah membayar Bitcoin ke alamat ‘1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX’ untuk mendekripsi file mereka yang terinfeksi Petya, yang jumlahnya kira-kira $6775.
Petya, Serangan Ransomware Worldwide Lainnya
Screenshot dari infeksi Petya terbaru yang dibagikan di Twitter menunjukkan bahwa ransomware menampilkan teks, menuntut tebusan $300 senilai Bitcoins. Teks tersebut berbunyi:
“If you see this text, then your files are no longer accessible, because they are encrypted. Perhaps you are busy looking for a way to recover your files, but don’t waste your time. Nobody can recover your files without our decryption service.”
Terjemahan dalam Bahasa Indonesia:
“Jika Anda melihat teks ini, maka file Anda tidak dapat diakses lagi, karena dienkripsi. Mungkin Anda sibuk mencari cara untuk memulihkan file Anda, tapi jangan buang waktu Anda. Tidak ada yang bisa memulihkan file Anda tanpa layanan dekripsi kami.“
Menurut pemindaian VirusTotal terbaru, saat ini, hanya 16 dari 61 layanan anti-virus yang berhasil mendeteksi virus Petya.
Ransomware Petya Berhasil Serang Bank, Telekomunikasi, Bisnis & Perusahaan Listrik
Dilaporkan bahwa ransomware Petya telah menginfeksi raksasa minyak milik negara Rusia Rosneft, pemasok listrik negara Ukraina, “Kyivenergo” dan “Ukrenergo,” dalam beberapa jam terakhir.
“Kami diserang Dua jam yang lalu, kami harus mematikan semua komputer kami. Kami menunggu izin dari Dinas Keamanan Ukraina (SBU) untuk mengaktifkannya kembali,” kata layanan pers Kyivenergo.
Ada laporan dari beberapa bank, termasuk Bank Nasional Ukraina (NBU), Oschadbank; bahwa mereka terinfeksi oleh Petya.
Maersk, perusahaan logistik internasional, juga telah mengabarkan dalam Twitter bahwa serangan Petya terbaru telah mematikan sistem TI-nya di berbagai lokasi dan unit bisnisnya.
— Maersk (@Maersk) June 27, 2017
Ransomware Petya juga berdampak pada beberapa workstation di perusahaan pertambangan cabang Ukraina, Evraz.
Kerusakan yang paling parah dilaporkan oleh bisnis Ukrania juga mencakup sistem yang dikompromikan di metro lokal Ukraina, dan Bandara Boryspil di Kiev.
Друзі! Оплата банківськими картками наразі неможлива.
Хакерська атака. https://t.co/P6WoWORHlA— Kyiv Metro (@kyivmetroalerts) June 27, 2017
Tiga operator telekomunikasi Ukraina, Kyivstar, LifeCell, Ukrtelecom, juga telah terkena dampak serangan Petya terbaru.
Bagaimana Ransomware Petya Menyebar Begitu Cepat?
Symantec, perusahaan keamanan cyber, juga telah mengkonfirmasi bahwa ransomware Petya mengeksploitasi menggunakan eksploitasi SMBv1 EternalBlue, seperti WannaCry, dan memanfaatkan mesin Windows yang unpatched.
Petya ransomware successful in spreading because it combines both a client-side attack (CVE-2017-0199) and a network based threat (MS17-010)
— Hacker Fantastic (@hackerfantastic) June 27, 2017
EternalBlue adalah eksploitasi Windows SMB yang dibocorkan oleh kelompok hacking Shadow Brokers yang terkenal dengan data dump April-nya, yang mengklaim telah mencuri dari agen intelijen NSA, bersamaan dengan eksploitasi Windows lainnya.
Microsoft sejak itu telah menambal kerentanan untuk semua versi sistem operasi Windows, namun banyak pengguna tetap rentan, dan serangkaian varian malware mengeksploitasi kekurangan untuk mengirimkan ransomware dan mine cryptocurrency.
Baru tiga hari yang lalu, kami melaporkan tentang serangan WannaCry terbaru yang menimpa Honda Motor Company dan sekitar 55 kamera kecepatan dan lampu lalu lintas di Jepang dan Australia.
Cara Melindungi Diri Dari Serangan Ransomware
Nah, cukup mengejutkan bahwa bahkan setelah mengetahui tentang masalah WannaCry untuk waktu yang cukup lama, masih banyak yang belum menerapkan langkah-langkah keamanan yang tepat untuk mempertahankan diri dari ancaman tersebut.
Apa yang harus dilakukan? Segera terapkan patch dan nonaktifkan protokol file-sharing SMBv1 yang tidak aman itu pada sistem Windows kamu.
Karena Petya Ransomware juga memanfaatkan WMIC dan PSEXEC untuk menginfeksi komputer Windows yang telah di patch sepenuhnya, kamu juga disarankan untuk menonaktifkan WMIC (Windows Management Instrumentation Command-line).
Cegah Infeksi & Petya Kill-Switch
Peneliti menemukan bahwa sistem enkripsi ransomware Petya dilakukan setelah me-reboot komputer. Jadi jika sistem kamu terinfeksi Petya dan ransomware tersebut mencoba merestart, janganlah kamu menyalakannya kembali.
If machine reboots and you see this message, power off immediately! This is the encryption process. If you do not power on, files are fine. pic.twitter.com/IqwzWdlrX6
— Hacker Fantastic (@hackerfantastic) June 27, 2017
PT Security, perusahaan keamanan cyber berbasis di Inggris dan Amit Serper dari Cybereason, telah menemukan Kill-Switch untuk ransomware Petya. Menurut sebuah tweet, perusahaan telah menyarankan pengguna untuk membuat file yaitu “C:\Windows\perfc” untuk mencegah infeksi ransomware.
#StopPetya We have found local “kill switch” for #Petya: create file "C:Windowsperfc" pic.twitter.com/zlwB8Zimhv
— PT Security (@PTsecurity_UK) June 27, 2017
https://twitter.com/0xAmit/status/879778335286452224
Untuk melindungi terhadap infeksi ransomware, kamu juga harus selalu curiga terhadap file dan dokumen asing yang dikirim melalui email dan tidak boleh mengeklik tautan di dalamnya kecuali memverifikasi sumbernya.
Untuk menjaga data berharga, simpan back-up secara rutin di tempat yang membuat salinan mereka ke perangkat penyimpanan eksternal yang tidak selalu terhubung ke PC.
Selain itu, pastikan kamu menjalankan paket keamanan anti-virus yang bagus dan efektif di sistem, serta tetap up-to-date. Yang terpenting, selalu browsing di internet dengan aman.
