Tentang Ransomware Petya
June 29, 2017, 7:16 a.m. Posted by: aka56Tentang Ransomware Petya
[Lagi asyik-asyiknya liburan, eh ada masalah keamanan lagi. Terpaksa ngeblog dulu.]
Lagi-lagi ramai tentang ransomware. Kali ini ransomware yang muncul diberi nama Petya. (Nama Petya ini sebetulnya kurang tepat karena pada awalnya diduga ransomware ini memiliki kesamaan dengan kode ransomware lama yang bernama Petya, namun ternyata kodenya berbeda. Maka muncullah nama pelesetan lain.)
Seperti halnya ransomware lainya, Petya juga mengunci berkas di komputer target dan meminta pembayaran melalui Bitcoin. Setelah membayar menggunakan Bitcoin, target diminta untuk memberitahukan melalui email. Namun email tersebut sudah dibekukan sehingga tidak ada mekanisme untuk memberitahukan bahwa ransom sudah dibayar.
Petya juga menggunakan kelemahan dari SMB v1 yang banyak digunakan pada sistem operasi Microsoft untuk berbagai fungsi, seperti misalnya untuk file sharing. Ini kelemahan sama yang dimanfaatkan oleh ransomware WannaCry. Dikabarkan kelemahan ini diketahui oleh NSA yang kemudian mengembangkan eksploit yang bernama EternalBlue. Ransomware-ransomware dikembangkan dari eksplitasi ini.
Penyebaran Petya awalnya diberitakan oleh Polisi Ukraina dan terkait dengan program akunting yang harus digunakan oleh perusahaan-perusahaan yang memiliki proyek di pemerintahan Ukraina. Itulah sebabnya ada dugaan lain bahwa ransomware Petya ini merupakan kedok untuk melakukan kekacauan di dunia siber Ukrainan. Cyberwar?
Penyebaran ransomware Petya ini agak terbatas karena mekanisme distribusi yang menggunakan jaringan lokal (tidak seperti lainnya yang menggunakan internet sebagai pencarian target berikutnya). Namun ada juga upaya penyebaran melalui email pishing.
Petya juga memeriksa keberadaan berkas “C:\WINDOWS\perfc.dat” (read-only). Jika ada berkas tersebut, maka mekanisme enkripsi dimatikan. Namun ini tidak membatasi kehidupannya. Jadi bukan mekanisme kill switch sebagaimana ada pada ransomware lainnya.
Berbagai software anti-virus sudah dapat mendeteksi ransomware Petya ini. Update program anti virus Anda dan update sistem operasi secara berkala.
https://rahard.wordpress.com/2017/06/29/tentang-ransomware-petya/