Serangan ransomware Petya: bagaimana dan siapa yang terinfeksi; bagaimana cara menghentikannya

Serangan ransomware baru yang menggunakan versi modifikasi dari kerentanan EternalBlue yang dieksploitasi dalam serangan WannaCry muncul pada hari Selasa dan telah mengenai lebih dari 2000 PC di seluruh dunia di Spanyol, Prancis, Ukraina, Rusia dan negara-negara lain.

Serangan itu terutama menargetkan bisnis di negara-negara ini sementara sebuah rumah sakit di Pittsburg, AS juga terkena dampaknya. Para korban serangan itu antara lain Bank Sentral, Kereta Api, Ukrtelecom (Ukraina), Rosnett (Rusia), WPP (Inggris) dan DLA Piper (AS), antara lain.

Sementara jumlah tertinggi infeksi telah ditemukan di Ukraina, tertinggi kedua di Rusia, diikuti oleh Polandia, Italia dan Jerman. Akun bitcoin yang menerima pembayaran telah menyelesaikan lebih dari 24 transaksi sebelum ditutup.

Baca Juga: Peretas Petya Ransomware Kehilangan Akses ke Akun Email; Korban Ditinggal Terdampar.

Meskipun serangan itu tidak ditargetkan pada bisnis di India, pihaknya menargetkan raksasa pengiriman AP Moller-Maersk dan Pelabuhan Jawaharlal Nehru berada di bawah ancaman ketika perusahaan mengoperasikan Terminal Gateway di pelabuhan.

Bagaimana Petya Ransomware Menyebar?

Ransomware menggunakan exploit serupa yang digunakan dalam serangan ransomware WannaCry skala besar awal bulan ini yang menargetkan mesin yang berjalan pada Windows versi lama, dengan sedikit modifikasi.

Kerentanan dapat dieksploitasi melalui eksekusi kode jarak jauh pada PC yang menjalankan sistem Windows XP ke Windows 2008.

Ransomware menginfeksi PC dan reboot menggunakan alat sistem. Setelah me-reboot, ini mengenkripsi tabel MFT di partisi NTFS dan menimpa MBR dengan loader khusus yang menampilkan catatan tebusan.

Menurut Kaspersky Labs, “Untuk menangkap kredensial untuk penyebaran, ransomware menggunakan alat khusus, ala Mimikatz. Ekstrak kredensial ini dari proses lsass.exe. Setelah ekstraksi, kredensial diteruskan ke alat PsExec atau WMIC untuk distribusi di dalam jaringan."

Apa Yang Terjadi Setelah PC Terinfeksi?

Setelah Petya menginfeksi PC, pengguna kehilangan akses ke mesin yang menampilkan layar hitam dengan teks merah di atasnya yang berbunyi sebagai berikut:

“Jika Anda melihat teks ini, maka file Anda tidak lagi dapat diakses karena telah dienkripsi. Mungkin Anda sibuk mencari cara untuk memulihkan file Anda, tetapi jangan buang waktu kami. Tidak ada yang dapat memulihkan file Anda tanpa layanan dekripsi kami."

Dan ada instruksi mengenai pembayaran $ 300 dalam Bitcoin dan cara memasukkan kunci dekripsi dan mengambil file.

Bagaimana Tetap Aman?

Saat ini, tidak ada cara konkret untuk mendekripsi file yang disandera oleh ransomware Petya karena menggunakan kunci enkripsi yang solid.

Tetapi situs web keamanan Bleeping Computer percaya bahwa membuat file read-only bernama 'perfc' dan menempatkannya di folder Windows di drive C dapat membantu menghentikan serangan.

Penting juga bahwa orang-orang, yang masih belum, segera mengunduh dan menginstal patch Microsoft untuk sistem operasi Windows yang lebih lama yang mengakhiri kerentanan yang dieksploitasi oleh EternalBlue. Ini akan membantu melindungi mereka dari serangan malware yang serupa seperti Petya.

Jika mesin reboot dan Anda melihat pesan ini, matikan segera! Ini adalah proses enkripsi. Jika Anda tidak menghidupkan, file baik-baik saja. pic.twitter.com/IqwzWdlrX6

- Hacker Fantastic (@hackerfantastic) 27 Juni 2017

Sementara jumlah dan besarnya serangan ransomware meningkat setiap hari, disarankan bahwa risiko infeksi baru menurun secara signifikan setelah beberapa jam pertama serangan.

Baca Juga: Serangan Ransomware pada Kenaikan: Berikut adalah Cara Tetap Aman.

Dan dalam kasus Petya, analis memperkirakan bahwa kode itu menunjukkan tidak akan menyebar ke luar jaringan. Belum ada yang bisa mengetahui siapa yang bertanggung jawab atas serangan ini.

Peneliti keamanan masih belum menemukan cara untuk mendekripsi sistem yang terinfeksi oleh ransomware Petya dan karena bahkan peretas tidak dapat dihubungi sekarang, semua orang yang terkena dampak akan tetap demikian untuk sementara waktu.