Tentang Ransomware Petya

Akhirnya setelah puasa bisa nulis lagi. Kemarin ketika sedang menghabiskan libur lebaran bersama keluarga, saya mendapat telepon dari mas akbar dari CNN Indonesia. Dia mengundang saya ke kantornya untuk memberikan penjelasan tentang ransomware Petya. Menurut berita, Petya ini lebih dahsyat dari dibandingkan WannaCry. Jadi mereka penasaran dan ingin liat langsung bagaimana ransomware ini bekerja.

Percobaan menjalankan Petya

Wah Petya ini kok munculnya pas lebaran yah. Kan para admin lagi pada mudik. Ya sudah karena lagi liburan, terpaksa saya berangkat ke kantor CNN indonesia hanya dengan modal kaos dan sendal. Pertanyaan pertama yang ditanyakan ke saya, “bawa laptop pak?”. Wah sayang sekali saya gak bawa, laptopnya lagi mudik mas. Untungnya karena mereka penasaran pingin liat malware ini, saya diberi pinjeman Macbook. Duh sayang banget laptop keren dikorbankan. Dengan dibantu 2 staff IT dari CNN mulailah kami coba menginfeksi Macbook itu dengan Ransomware Petya.

Pertama kami pasang dulu VirtualBox, kemudian install win 7 di Virtualbox. Selanjutnya unduh sampel ransonware Petya. Karena Petya ini memiliki kemampuan bisa menyebar di jaringan perlu dilakukan tindakan pengamanan. Kami matikan jaringan di Virtualbox, tak lupa juga matikan fitur folder sharing. Macbook juga kami isolasi dari jaringan.

Percobaan pertama menjalankan Petya gagal, ya maklum karena gak bawa perlengkapan perang. Setelah percobaan kesekian, baru akhirnya berhasil menginfeksi laptop tersebut dengan Petya. Setelah komputer  terinfeksi, Petya bekerja dengan menjadwalkan komputer di reboot dalam waktu 1 jam (task scheduler). Pertama di layar akan muncul program chkdsk, pada saat ini petya melakukan proses enkripsi. Kemudian akan muncul gambar tengkorak kelap kelip, dan pesan ransom bahwa data2 kita telah dienkripsi dan untuk bisa mengembalikan datanya kita harus membayar uang tebusan (ransom) melalui bitcoin. Setelah membayar, kita harus mengirim email ke sebuah alamat, untuk mendapatkan kunci dekriptor.

Tentang ransomware Petya

Sebenarnya Ransomware Petya sudah muncul pada tahun 2016. Saat itu Hashezerade, seorang peneliti malware dari Malwarebytes bahkan telah berhasil membuat petya recovery. Sebuah aplikasi yang dapat digunakan untuk mengembalikan data yang dienkrip dengan Petya. Namun Petya yang baru-baru ini muncul berbeda dengan Petya yang telah ada pada tahun 2016. Walaupun begitu ada banyak juga kemiripannya. Sehingga ada sebagian peneliti malware yang menamakannya NotPetya, Petna dan ada juga yang menamakannya GoldenEye.

Malware Petya baru ini banyak ditemukan di Ukraina. Karena disebarkan melalui sebuah aplikasi yang banyak digunakan disana yaitu MeDoc. Konon pengguna aplikasi ini mendapat notifikasi untuk mengunduh update. Namun ternyata updatenya telah disusupi oleh Petya. Menurut pembuat aplikasi MeDoc, server mereka telah diretas dan digunakan untuk menyebarkan malware ini.

Cara Penyebaran

Petya juga memiliki kemampuan yang sama dengan WannaCry. Dapat menyebar di jaringan dengan memanfaatkan protokol SMBv1, atau yang dikenal dengan celah keamanan Eternal Blue. Tapi selain itu juga Petya dapat menyebar di jaringan menggunakan WMIC (Windows Management Instrumentation Commandline). Berbeda dengan Wannacry Penyebaran Petya ini terbatas hanya pada komputer yang pada sebuah LAN.

Pada pesan Ransom, korban diminta menghubungi sebuah alamat email untuk mendapatkan konci dekripsi. Namun alamat email tersebut saat ini telah diblok penyedia layanan email. Menurut hasil analisa, malware ini sengaja dibuat untuk menjadi wiper. Maksudnya si penulis malware bermaksud mengenkrip dan menghapus data-data korban. Sehingga bila anda menjadi korban Petya, jangan membayar uang Ransom. Karena anda tidak akan mendapatkan kunci dekriptornya.

Tindakan pencegahan yang dapat dilakukan sama dengan pencegahan Wannacry. Update versi Windows yang anda gunakan. Matikan layanan SMBv1. Update antivirus, dan berhati2 dalam membuka maupun mengunduh file dari internet yang mencurigakan. Oiya mumpung lebaran, saya ingin mengucapkan Taqabbalallahu Minna Wa Minkum, mohon maaf lahir batin

Semoga Bermanfaat!

Beberapa hasil analisa malware ini:

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html

https://blog.fortinet.com/2017/06/28/a-technical-analysis-of-the-petya-ransomworm

Sampel Petya:

Sampel Petya lama:

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.Petya

Silahkan tuliskan tanggapan, kritik maupun saran