Teror Ransomware Petya Ancam Indonesia

Dunia kembali dihebohkan dengan serangan program jahat ransomware di jaringan Internet. Setelah pada Mei lalu ransomware varian WannaCry menggunjang dunia, kini muncul saudaranya, ransomware Petya yang dianggap jauh lebih jahat.

Cara bekerja virus Petya mirip dengan saudaranya, WannaCry, yakni mengunci data-data pribadi di dalam komputer. Nah, untuk membebaskan data yang jadi ‘sandera’, pemiliknya diminta membayar tebusan untuk bisa mengakses data itu kembali. Petya menebar ancaman di mana pun, termasuk Indonesia.

Itu sebabnya Pemerintah Indonesia tidak mau pandang enteng. Saat ini pemerintah melalui Kementerian Komunikasi dan Informatika serta pihak-pihak terkait  terus memantau dan memitigasi pergerakan dari penyebaran Petya itu. Notifikasi telah dikeluarkan oleh Indonesia Security Incident Response Team on Internet and Infrastructure/Coordination Center atau id-SIRTII/CC, pengawas keamanan jaringan telekomunikasi berbasis protokol internet.

Menurut keterangan dari laman Kominfo, Petya sejak beberapa hari terakhir ditemukan di wilayah Eropa dan Asia Selatan. Ukraina terdampak paling berat dari serangan tersebut, mencakup sektor publik kelistrikan hingga perbankan.

Sebagai antisipasi meluasnya insiden pada saat awal hari kerja pada hari Senin 3 Juli 2017 mendatang, maka Menkominfo, Rudiantara, dan Id-SIRTII/CC sedang bergerak untuk memberi peringatan dini dan mempersiapkan gerakan antisipatif/preventif ke masyarakat.

“Saat ini, dalam skala global sedang terjadi serangan virus ransomware Petya. Pemerintah terus memantau dan memitigasi pergerakan dari penyebaran virus Petya ini di Indonesia,” kata Rudiantara melalui pesan singkatnya.

Rudiantara juga mengingatkan kepada masyarakat luas untuk melakukan backup data sebelum mengaktifkan komputer. “Selain backup data, pastikan melakukan update security patch terbaru sebagai langkah antisipasi,” ujarnya.

Kenapa Lebih Jahat dari WannaCry?

Dari data yang dihimpun dari berbagai sumber, sebenarnya ransomware ini merupakan modifikasi dari Petya yang telah ada sejak 2016. Dari situs resmi Microsoft yang menjadi target serangan, Malicious Software (malware) ini disebut dengan ‘NotPetya’.

Dibanding dengan WannaCry, serangan Petya versi terbaru ini memang dianggap jauh lebih ganas. Pasalnya, NotPetya mampu menyerang komputer yang sudah terlindungi oleh pembaruan keamanan baru dan sangat sulit untuk dipulihkan.

Petya generasi terbaru ini juga diklaim lebih ganas karena memiliki dua program enkripsi. Enkripsi pertama bertugas mengubah master boot record atau MRB di sistem operasi Microsoft Windows untuk mendapatkan akses sebagai administrator.

Jika itu berhasil, maka program akan mengatur agar komputer restart dalam waktu yang berbeda-beda di tiap komputer.

Setelah restart, maka program mulai menjalankan enkripsi pada seluruh hard disk yang ada di komputer tersebut. Saat bekerja, program akan menampilkan informasi palsu, yakni berupa program pemeriksaan hard disk (chkdsk).

Jika semua sudah selesai, maka program akan menampilkan informasi bahwa komputer tersebut telah dikunci. Pemilik komputer diminta menyetor sejumlah uang Bitcoin ke rekening pribadi hacker.

Bila program pertama gagal mendapatkan akses administrator, maka program kedua yang akan berjalan. Program ini sebenarnya sama seperti WannaCry, yakni mengunci semua data pribadi yang ada di hard disk secara satu per satu.

Meski sama-sama memanfaatkan celah keamanan EternalBlue seperti WannaCry, NotPetya mampu mengeksploitasi alat jaringan Windows seperti Windows Management Instrumentation (WMI) dan PSExec sehingga seluruh komputer dengan sistem operasi Windows yang diperbarui sekalipun dapat diserang.

“WMI adalah metode gerakan lateral super efektif untuk peretas. Ini sering diizinkan oleh sistem, jadi jarang diblokir oleh alat keamanan. PSExec sedikit lebih terdepresiasi dan lebih dipantau namun tetap saja sangat efektif,” kata peneliti keamanan Lesley Carhart.

Dengan bahasa sederhananya, menurut pakar keamanan Kevin Beaumont, serangan ransomware yang satu ini dapat menginfeksi seluruh komputer dalam satu jaringan walau awalnya hanya menyerang satu komputer yang bertindak sebagai administrator.

Yang membuat generasi terbaru dari Petya ini juga lebih ‘ganas’ yakni terkait dengan uang tebusan. Pembuat Petya memang baru akan melepaskan ‘sandera’ jika korban mengirimkan bukti transfer ke sebuah alamt surel atau e-mail.

Yang menjadi masalah, alamat e-mail yang digunakan ternyata dikelola oleh sebuah penyedia layanan e-mail, bukan alamat khusus yang dikelola sendiri oleh pembuat Petya. Nah, setelah marak pemberitaan mengenai Petya generasi terbaru itu, penyedia layanan e-mail langsung menutup alamat tersebut, sehingga tidak lagi bisa diakses.

Hal ini tentu membuat korban tak bisa mengirim bukti pembayaran transfer yang secara otomatis juga membuat pelaku tak dapat membebaskan data-data yang telah disanderanya.

Selanjutnya…Cara Melawan

Cara Melawan Teror Petya

Berdasarkan informasi yang diterima VIVA.co.id dari id-SIRTII/CC, ada beberapa cara untuk mengantisipasi penyebaran Petya.

Berikut panduannya:

Asumsi jika komputer dalam keadaan menyala. PC yang terinfeksi ransomware Petya akan muncul peringatan seperti berikut saat setelah proses reboot:

DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS,YOU COULD DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

Jika muncul pesan seperti ini, segera matikan komputer Anda. Jika komputer tetap dalam keadaan mati, maka data Anda akan baik-baik saja.

Asumsi antisipasi komputer dalam keadaan mati

1. Putuskan koneksi jaringan kabel LAN atau matikan koneksi WiFi (untuk sementara sampai seluruh langkah mitigasi selesai dilakukan dan telah dipastikan sistem operasi komputer telah terupdate dan data penting telah diselamatkan)

2. Lakukan backup semua data yang ada di komputer, baik client maupun server, khususnya file sharing. Untuk keamanan, walaupun server menggunakan sistem operasi Linux atau MacOS, disarankan untuk menyalin semua data penting ke external drive, kemudian cabut external drive. Putuskan koneksi ke online cloud storage sampai semua aman.

3. Unduh Tools dan Security Patch secara manual melalui komputer lain yang dipastikan aman.

4. Pasang Tools dan Security Patch yang sudah diunduh ke semua komputer.

5. Lakukan pemeriksaan menggunakan program Antivirus dengan fitur Total Security, dengan catatan Antivirus tersebut sudah menggunakan update terbaru

6. Non-aktifkan Macro service pada Microsoft Office dan SMB Service semua komputer. Aktifkan Firewall dan block Port 139, 445 serta 3389 untuk sementara, sampai seluruh proses mitigasi, backup dan update patch tuntas dilaksanakan.

Tips untuk mencegah komputer terinfeksi Petya generasi terbaru ini juga diberikan CEO Hacker House Matthew Hickey. Menurut Hickey, salah satu cara mencegahnya dengan menipu malware agar berpikir komputer sudah terserang.

Hal ini dapat dilakukan dengan menuju ke folder direktori Windows (C: Windows) dan membuat file bernama perfc (akan berakhir seperti ini: % WINDIR% perfc. Setel ke “read only” permissions. Sebab, ketika malware pertama kali berjalan, ia akan mencari nama file itu di folder dan jika ditemukan, ia akan membunuh dirinya sendiri.

Langkah antisipasi lainnya menurut Hickey, pengguna diminta untuk memastikan apakah komputer mereka sudah terinfeksi. Jika belum segera menginstal ulang Windows dan aplikasi keamanan terbaru yang tentu sudah ditambal kebocorannya yang dapat dimanfaatkan ransomware Petya.

Leave a Reply

Your email address will not be published. Required fields are marked *