Lebih Ganas! Petya Itu Wiper, Bukan Ransomware — Apa Bedanya?
Masih ingat dengan keganasan WannaCry? Beberapa rumah sakit dan institusi di Indonesia sempat lumpuh gara-gara ransomware ini. Kali ini muncul bahaya lain yang bahkan lebih parah dari WannaCry dan ransomware lainnya, yaitu Petya.
Apa itu Petya?
27 Juni kemarin lebih dari 12500 komputer di Ukraina terinfeksi Petya. Infeksi ini kemudian menyebar dengan cepat ke 64 negara lainnya di dunia, termasuk Belgia, Brazil, Jerman, Rusia, Amerika — dan bukan mustahil — Indonesia juga.
Sebenarnya Petya yang menyerang ketika ini merupakan varian gres dari ransomware Petya versi sebelumnya (Ransom:Win32/Petya) — atau sebut saja Petya 2016. Hanya saja Petya yang ditemukan kemarin (NotPetya / Petya 2017) punya efek merusak yang jauh lebih ganas dari sebelumnya. Bahkan dari hasil analisa mendalam oleh Kaspersky dan Comae, ditemukan bahwa Petya yang kali ini bukanlah ransomware, melainkan sebuah wiper.
Apa Bedanya Petya Kali Ini dengan Ransomware Biasa?
Petya yang menyerang kali ini yakni Wiper, bukan Ransomware. Apa bedanya?
Pada intinya, tujuan sebuah wiper yakni merusak, sedangkan tujuan ransomware yakni mendapat uang.
Kenapa Lebih Parah dari Ransomware Biasa?
Biasanya ransomware akan mengenkripsi data sehingga rusak dan tidak dapat dibuka. Ransomware tersebut kemudian akan meminta uang tebusan, yang jikalau dibayar maka sang pembuat ransomware akan mengirimkan key dekripsi untuk mengembalikan data yang rusak alasannya terenkripsi. Selain itu, banyak sekali perusahaan security seringkali dapat menciptakan decryptor tool untuk keperluan mengembalikan lagi data yang terenkripsi.
Petya 2016 juga masih dikategorikan sebagai ransomware, alasannya data yang rusak akhir modifikasi MBR masih dapat direstore dan dikembalikan lagi jikalau korban membayar sejumlah uang.
Nah, Petya 2017 / NotPetya tidaklah demikian. Cara kerja Petya 2017 bukan sekedar mengenkripsi data, meminta tebusan uang, dan memperlihatkan solusi untuk mengembalikan data. Petya kali ini dibentuk dan dimodifikasi dengan tujuan yang jelas: merusak — bukan sekedar mencari uang.
Begitu menginfeksi, maka Petya akan pribadi memodifikasi sektor di MBR hardisk. Sector pertama akan di-encode dan diletakkan di sector 34. Permasalahannya adalah, 24 sector sesudah sector pertama tersebut secara sengaja di overwrite, tidak dibaca atau disimpan dimanapun. Hal ini menciptakan data pengguna PC yang terinfeksi akan rusak permanen, tidak dapat dikembalikan lagi, bahkan jikalau mereka sudah membayar uang tebusan.
Sekali lagi, Petya ini tidak mengenkripsi data secara langsung, tetapi melaksanakan enkripsi terhadap Master File Table (MFT) yang berisi indeks dan gosip setiap file tersimpan di hardisk.
Selain itu alamat email yang digunakan oleh Petya 2017 tidaklah aktif. Makara meskipun para korban sudah membayar sejumlah uang, pembuat Petya tidak akan dapat dihubungi melalui email, ataupun mengirim solusi untuk mengembalikan data. Faktanya, sang pembuat Petya kemungkinan besar tidak dapat lagi mengembalikan data korban alasannya memang data tersebut sudah rusak permanen.
Terlebih lagi, personal installation key yang ditampilkan ke komputer korban tidaklah konsisten dan hanya berupa huruf random. Artinya sang pembuat Petya memang tidak berniat mengembalikan data para korbannya.
Jadi meskipun dibungkus menyerupai ransomware yang meminta tebusan uang, tetapi Petya 2017 / NotPetya merupakan Wiper — bukan sekedar ransomware menyerupai Petya 2016 lalu.
Bagaimana Penyebaran Petya Wiper?
Penyebaran Petya 2017 (NotPetya / Petya Wiper) ini paling besar lengan berkuasa terjadi di wilayah Eropa, terlebih Ukraina, dimana aplikasi Medoc sangat terkenal disana. Beberapa pihak menyatakan sang hacker berhasil menyusupi aplikasi Medoc dengan code jerawat Petya — meskipun pihak Medoc sendiri menyatakan aplikasi mereka tidak ditunggangi oleh hacker. Penyebab jerawat lain yakni dari attachment email pishing ataupun scam, yang dibuka dengan sembarangan.
Begitu menginfeksi komputer, maka Petya akan menggunakan banyak sekali cara untuk menyebar ke komputer lain di jaringan yang sama. Salah satunya menggunakan versi tweak dari Mimikatz open-source untuk mengekstrak detail akun eksekutif melalui memory PC. Kemudian menggunakan detail tersebut untuk mengeksekusi command di PC lain melalui PsExec dan WMIC.
Selain itu Petya juga memanfaatkan celah eksploit Windows yang ditemukan oleh NSA, yaitu EternalBlue untuk menyebar luas melalui jaringan. Celah ini mengeksploit SMB, dan merupakan celah yang sama menyerupai yang digunakan oleh WannaCry. Petya juga menggunakan eksploit SMB lainnya dari NSA yaitu EternalRomance.
Selain menggunakan eksploit Windows temuan NSA, Petya juga berusaha mendapat kanal admin melalui banyak sekali cara lainnya, menyerupai menipu user yang login sebagai admin mengeksekusi attachment email berisi malware, atau meniru malware sebagai update aplikasi yang membutuhkan kanal admin. Selain itu Petya juga berusaha mengembangkan diri melalui banyak sekali aplikasi terkenal yang mereka hijack.
Begitu menginfeksi dan mendapat hak kanal admin, Petya pribadi memodifikasi dan melaksanakan rewrite MBR di hardisk, sehingga begitu booting yang berjalan bukanlah Windows, melainkan Petya dengan banyak sekali pesan ransom nya. Tetapi menyerupai yang sudah WinPoin jelaskan diatas, meskipun korban sudah membayar sejumlah uang tebusan, data mereka bersama-sama sudah rusak permanen dan tidak dapat dikembalikan lagi.
Itulah kenapa Petya 2017 / NotPetya ini bukanlah ransomware, melainkan wiper.
Itulah seluk beluk Petya yang ketika ini sedang heboh menyebar dengan ganasnya. Untuk banyak sekali tips bagaimana cara melindungi Pc dari Petya, akan segera WinPoin tulis di artikel tersendiri.
Sumber: https://winpoin.com/
0 Response to "Lebih Ganas! Petya Itu Wiper, Bukan Ransomware — Apa Bedanya?"
Post a Comment