Thursday, June 29, 2017

Awas! Bahaya Serangan Petya

Belum lama setelah virus Ransomware WannaCry menyerang, kali ini giliran varian virus Ransomware lain yang menyerang yakni virus Petya.  Petya menyerang dengan efek merusakan yang lebih dahsyat bilan dibanding dengan varian Ransomware WannaCry.
Petya

Virus Seperti Apa Petya itu?

Petya 2017 ini adalah varian Ransomware lain hasil evolusi dari Petya 2016 (Ransom:Win32/petya) dan WannaCry.  Petya 2017 (Not Petya/Petya 2017) punya efek merusak yang lebih ganasdari versi sebelumnya, bahkan dari hasil analisa beberapa perusahan antivirus, menyebutkan bahwa Petya 2017 ini bukan sembarangan Ransomware melainkan Wiper. Petya disebut juga dengan istilah GoldenEye.

Baca Juga : Download File ISO Windows 10 Creators Update

Apa itu Wiper?

Wiper adalah sebuah Aplikasi/virus yang bertujuan untuk merusak, tetapi juga mencari uang. sedangkan Ransomware (WannaCry) mencari uang.

Cara kerja Petya

Seperti halnya Ransomware Wannacry Petya atau GoldenEye juga bekerja dengan mengenkriupsi data sehingga mengalami kerusakan dan tidak bisa dibuka, kemudian meminta uang tebusan, dan jika dibayar maka pembuat Ransomware akan mengirinkan Key Dekripsi untuk mengembalikan daya yang rusak terenkripsi tadi.

Akan tetapi Petya 2017 ini berbeda dengan cara kerja WannCry, Petya bekerja bukan sekedar mengenkripsi data, merusak data kemudian meminta uang tebusan selanjutnya memberi solusi untuk mngembalikan data, akan tetapi Petya bertujuan sangat jelas "Merusak, bukan sekedar mencari uang".  Segaja saya kasih huruf tebal karena mempertegas tujuan dari Petya.

Petya setelah berhasil menginfeksi data, Petya akan langsung memodifikasi sektor MBR hardisk. Sektor pertama akan langsung di encode dan diletakan pada sektor 34.  Yang menjadi masalah adalah, 24 sector setelah sector pertama sengan di overwrite, atau tidak disimpan disektor manapun. Hal tersebut yang memicu data pengguna yang terinfeksi tidak akan bisa dikebalikan lagi, bahkan setelah membayar uang tebusan, alias rusak permanent.  Perlu diketahui juga bahwa email pembuat Petya tidak aktif (Tidak seperti WannaCry) dan Instalation Key yang ditampilkan pada komputer korban tidak konsisten dan hanya berupa karaktor random,


Bagaimana Metode Penyebaran Petya?

Petya menyebar dengan berbagai metode, diantaranya adalah dengan menggunakan tweak dari Mimikazt open source, yang bertujuan untuk mengekstraksi detail account administrator melalui memory PC, kemudian menggunakannya untuk Command di PC lain menggunakan PsExec dan WMIC.

Metode lain yang digunakan adalah dengan memanfaatkan celah keamanan ExternalBlue yang ditemukan oleh NSA, selanjutkan digunakan sebagai pijakan untuk menyebar luas melalui jaringan komputer. Celah ini digunakan untuk mengeksploit port SMB (sama dengan Wannacry). Petya juga mengeksploit port SMB lainnya dari NSA yaitu EternalRomance.  Selain cara kerja diatas Petya juga berusaha mendapatkan user admin dengan cara menipu user yang login sebagai admin melalui attachment email yang berisi malware. dan juga melalui hijack.

No comments:

Post a Comment