Ransomeware Petya vs Ransomeware Ingin Menangis

Masih ingat dengan keganasan WannaCry? Atau sudah lupa ? Beberapa rumah sakit dan institusi di Indonesia serta komputer di seluruh dunia sempat lumpuh gara-gara ransomware ini. Kali ini muncul ancaman lain yang bahkan lebih parah dari WannaCry dan ransomware lainnya, yaitu Petya.

Itu peta, bukan virus Petya :v mungkin si penulis ingin berkunjung dunia dengan peta :v

            Sistem komputer di Rusia, Inggris, Spanyol, Ukraina, Amerika Serikat (AS) dan sejumlah negara lain sudah terkena serangan ini. Program jahat ini hadir dengan berbagai nama. Banyak perusahaan keamanan menyebutnya sebagai Petya. Kaspersky, salah satu perusahaan keamanan jaringan, menyebutnya sebagai NotPetya. Sementara itu, ESET mendeteksinya sebagai Win32/Diskcoder.C.

Sebenarnya Petya yang menyerang saat ini merupakan varian baru dari ransomware Petya versi sebelumnya (Ransom:Win32/Petya) — atau sebut saja Petya 2016. Hanya saja Petya yang ditemukan kemarin (NotPetya / Petya 2017) punya efek merusak yang jauh lebih ganas dari sebelumnya. Bahkan dari hasil analisa mendalam oleh Kaspersky dan Comae, ditemukan bahwa Petya yang kali ini bukanlah ransomware, melainkan sebuah wiper.

Apa itu wiper? 

Wiper umumnya dianggap sebagai cyberweapon atau setidaknya sebagai perangkat lunak perusak yang digunakan untuk menghancurkan data pada hard disk target (atau penyimpanan serupa) pada sistem operasi Microsoft Windows.

Kondisi ini diperparah karena serangan dikombinasikan melalui celah keamanan EternalBlue dan EternalRomance. Kemudian ia mengeksploitasi SMB yang sebelumnya digunakan WannaCry untuk masuk ke jaringan dan menyebar melalui PSExec untuk menyebar di dalam jaringan.

Apa Bedanya Petya Kali Ini dengan Ransomware Biasa?

Petya yang menyerang kali ini adalah Wiper, bukan Ransomware. Apa bedanya? Pada intinya, tujuan sebuah wiper adalah merusak, sedangkan tujuan ransomware adalah mendapatkan uang.

Ransomware Petya lebih parah dari pada Ransomware? Mengapa?

Biasanya ransomware akan mengenkripsi data sehingga rusak dan tidak bisa dibuka. Ransomware tersebut kemudian akan meminta uang tebusan, yang jika dibayar maka sang pembuat ransomware akan mengirimkan key dekripsi untuk mengembalikan data yang rusak karena terenkripsi. Selain itu, berbagai perusahaan security seringkali bisa membuat decryptor tool untuk keperluan mengembalikan lagi data yang terenkripsi. Petya 2016 juga masih dikategorikan sebagai ransomware, karena data yang rusak akibat modifikasi MBR masih bisa direstore dan dikembalikan lagi jika korban membayar sejumlah uang. Nah, Petya 2017 / NotPetya tidaklah demikian. Petya tidak mengenkripsi file pada sistem yang ditargetkan satu per satu. Namun justru sebaliknya, cara kerja Petya 2017 bukan sekedar mengenkripsi data, meminta tebusan uang, dan memberikan solusi untuk mengembalikan data. Petya kali ini dibuat dan dimodifikasi dengan tujuan yang jelas: merusak — bukan sekedar mencari uang. ‘Petya’ akan me-reboot system dan membajak komputer, serta mengenkripsi tabel file master hard drive (master file table-MFT) dan membuat master boot record (MBR) tidak dapat dioperasikan.

 Sector pertama akan di-encode dan diletakkan di sector 34. Permasalahannya adalah, 24 sector setelah sector pertama tersebut secara sengaja di overwrite, tidak dibaca atau disimpan dimanapun. Hal ini membuat data pengguna PC yang terinfeksi akan rusak permanen, tidak bisa dikembalikan lagi, bahkan jika mereka sudah membayar uang tebusan. Selain itu alamat email yang digunakan oleh Petya 2017 tidaklah aktif. Jadi meskipun para korban sudah membayar sejumlah uang, pembuat Petya tidak akan bisa dihubungi melalui email, ataupun mengirim solusi untuk mengembalikan data.  Petya membatasi akses ke sistem penuh dengan menyita informasi tentang nama file, ukuran, dan lokasi pada disk fisik.

Virus Malware Petya dapat menggantikan master boot record (MBR) komputer dengan kode berbahaya yang menampilkan pesan permintaan tebusan (ransom) dan membuat komputer tidak dapat melakukan booting.

Ransomware Petya tidak bisa dibuka walaupun sudah membayar tebusan.

Faktanya, sang pembuat Petya kemungkinan besar tidak bisa lagi mengembalikan data korban karena memang data tersebut sudah rusak permanen. Terlebih lagi, personal installation key yang ditampilkan ke komputer korban tidaklah konsisten dan hanya berupa karakter random.

Artinya sang pembuat Petya memang tidak berniat mengembalikan data para korbannya. Jadi meskipun dibungkus seperti ransomware yang meminta tebusan uang, tetapi Petya 2017 / NotPetya merupakan Wiper — bukan sekedar ransomware seperti Petya 2016 lalu. Intinya, janganlah nilai kacang dari kulitnya :v

Untuk pencegahan ramsomware Petya ini, saya akan bahas di artikel selanjutnya.

So, stay with me :v :v :v :v