Lagi asyik liburan Idul Fitri, muncullah berita mengenai kehadiran ransomware baru bernama Petya, menyusul kehebohan WannaCry. Ini bukti bahwa penjahat dunia maya sepertinya tak mengenal libur.
Petya adalah virus tipe ransomware di mana saat komputermu terinfeksi, ia akan mengunci file dan meminta tebusan dari kamu. Nah, Petya yang satu ini bertindak lebih jauh. Petya, oleh engine antivirus Eset, dideteksi sebagai Win32/Diskcoder.C.
Jika malware ini berhasil menginfeksi MBR (master boot record), ia akan mengenkripsi keseluruhan drive. MBR ini adalah struktur data paling penting dalam sebuah harddisk. Dia tercipta ketika kita melakukan partisi pada harddisk itu. (baca juga: Menambal Kebocoran Manusia dalam Keamanan Data)
Makin parah kalau serangan Petya dikombinasikan melalui celah keamanan EternalBlue dan EternalRomance kemudian mengeksploitasi SMB, sebagaimana fenomena virus ransomware WannaCry yang menghebohkan baru-baru ini.
SMB atau Server Message Block adalah protokol yang dipakai sistem operasi Windows untuk banyak keperluan, seperti: file sharing, berbagi printer, atau akses ke layanan remote Windows. Kebocoran pada SMB Windows terdeteksi pada April 2017 dan diberi nama EternalBlue.
Tak seperti WannaCry, Petya menyebar ke komputer lain dalam jaringan melalui LAN. Petya tak menyebar melalui Internet, seperti WannaCry. Tapi ia cukup menembus satu komputer yang belum di-patch dalam jaringan, kemudian menyebarkan Petya ke komputer di jaringan tersebut.
“Ransomware Petya varian ini menduplikasi metode serangan WannaCry meskipun ada perbedaan mendasar pada akibatnya, jika WannaCry hanya mengenkrip file tertentu, maka varian Petya ini mampu mengenkrip seluruh harddisk pada akhirnya,” kata Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia.
(Baca juga: Waduh sekarang ada panduan bikin ransomware)
Penyebaran Petya dimulai melalui server sebuah perusahaan software akuntansi M.E.Doc yang telah disusupi peretas dan dimanfaatkan untuk melakukan penyebaran ransomware secara masif. Alhasil M.E.Doc menuliskan peringatan dan permohonan maaf di laman web-nya.
Di luar negeri, sudah banyak bank, kantor pemerintahan, jaringan listrik, dan perusahaan pos yang terinfeksi virus ini. Yudhi khawatir, serangan Petya juga segera mencapai Indonesia, terlebih saat ini sedang libur panjang dan biasanya kewaspadaan kurang dan system update terhenti.
Bagi pengguna Eset, ransomware ini sudah dideteksi melalui update terakhir bernomor 15653. Namun, kata Yudhi, tetaplah waspada dan segera memperbarui seluruh software atau aplikasi dalam komputernya.
Jika serangan WannaCry dapat dihentikan melalui mekanisme KillSwitch, versi terbaru Petya sudah mengantisipasi dengan tidak menyediakan kemungkinan adanya KillSwitch. Lantas bagaimana cara menghadapinya?
Bagaimana mengamankan komputermu:
• Lakukan patching komputer dari kebocoran EternalBlue dan nonaktifkan protokol file sharing SMBv1 pada sistem dan server Windows.
• Karena Petya juga memanfaatkan tool WMIC dan PSEXEC untuk menginfeksi komputer Windows walaupun sudah di-patching sepenuhnya, disarankan untuk menonaktifkan WMIC (Command Instrumentasi Windows Management Command).
• Update produk antivirus kamu dan pastikan ada fitur antiransomware.
• Pastikan fitur Network Scan selalu aktif pada antivirus.
• Bagi yang sudah terjangkit dengan gejala awal berupa peringatan di layar monitor, matikan komputer melalui tombol power. Saat itu ransomware baru memulai proses enkripsi. Dengan cara ini ada kemungkinan file dapat diselamatkan karena hanya MBR yang terkunci.
• Jika telat satu jam saja, Petya ini akan mencoba me-reboot PC untuk mengunci harddisk secara keseluruhan. Biasanya proses ini disamarkan sebagai operasi CHKDSK dan memperingatkan pengguna untuk tidak mematikan komputer. Tapi, jangan manut. Matikan saja komputermu melalui tombol power.
(Baca juga: Begini Cara Melawan Ransomware)
Foto: HypnoArt/Pixabay
