Ternyata Petya Baru Bukan Ransomware, Ini Perusak Wiper yang Merusak

0
190
Bagaimana jika saya mengatakan wabah malware global hari Selasa yang menghancurkan bukan karena adanya infeksi ransomware?

Ya, serangan ransomware Petya yang mulai menginfeksi komputer di beberapa negara, termasuk Rusia, Ukraina, Prancis, India dan Amerika Serikat pada hari Selasa dan menuntut $ 300 uang tebusan tidak dirancang dengan maksud mengembalikan komputer sama sekali.

Menurut sebuah analisis baru, virus ini dirancang agar terlihat seperti ransomware namun merupakan wiper malware yang menghapus komputer secara langsung, menghancurkan semua catatan dari sistem yang ditargetkan.

Pendiri Comae Technologies Matt Suiche, yang secara ketat melihat operasi malware tersebut, mengatakan setelah menganalisis virus tersebut, yang dikenal sebagai Petya, timnya menemukan bahwa itu adalah ” malware penghapus , bukan uang saku.

Pakar keamanan bahkan percaya bahwa serangan sebenarnya telah disamarkan untuk mengalihkan perhatian dunia dari serangan yang disponsori negara di Ukraina terhadap wabah malware.

“Kami percaya bahwa ransomware sebenarnya adalah daya tarik untuk mengendalikan narasi media, terutama setelah insiden WannaCry, untuk menarik perhatian pada beberapa kelompok hacker misterius daripada penyerang negara nasional,” tulis Suiche.

Apakah Petya Ransomware salah atau over-Smart?

Petya adalah malware jahat yang, tidak seperti ransomware tradisional lainnya, tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.

Sebaliknya, Petya reboot mengorbankan komputer dan mengenkripsi tabel master master hard drive (MFT) dan membuat master boot record (MBR) tidak dapat dioperasi, membatasi akses ke sistem penuh dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi pada disk fisik.

Kemudian Petya ransomware mengambil salinan MBR yang dienkripsi dan menggantinya dengan kode berbahaya yang menampilkan catatan tebusan, sehingga komputer tidak dapat melakukan booting.

petya-ransomware-attack

Namun, varian baru Petya ini tidak menyimpan salinan MBR yang diganti, secara keliru atau sengaja, membiarkan komputer yang terinfeksi tidak bisa boot meski korban mendapatkan kunci dekripsi.

Selain itu, setelah menginfeksi satu mesin, ransomware Petya memindai jaringan lokal dan dengan cepat menginfeksi semua mesin lain (bahkan sepenuhnya ditambal) pada jaringan yang sama, menggunakan alat pemurni EternalBlue SMB, WMIC dan PSEXEC.

Jangan Bayar Ransom; Anda Tidak Akan Mendapatkan File Anda Kembali

Sejauh ini, hampir 45 korban telah membayar total $ 10,500 di Bitcoin dengan harapan bisa mendapatkan file terkunci mereka kembali, tapi sayangnya, mereka tidak mau.

Itu karena alamat email, yang sedang disiapkan oleh penyerang untuk berkomunikasi dengan korban dan mengirim kunci dekripsi, diskors oleh penyedia Jerman sesaat setelah wabah.

Artinya, meski korban membayar uang tebusan, mereka tidak akan pernah bisa memulihkan file mereka. Periset Kaspersky juga mengatakan hal yang sama.

“Analisis kami menunjukkan ada sedikit harapan bagi korban untuk memulihkan data mereka Kami telah menganalisis kode enkripsi tingkat tinggi, dan kami telah mengetahui bahwa setelah enkripsi disk, aktor ancaman tidak dapat mendekripsi disk korban,” Kata perusahaan keamanan.

“Untuk mendekripsi aktor ancaman disk korban memerlukan ID penginstalan. Pada versi sebelumnya dari ‘mirip’ seperti troans seperti Petya / Mischa / GoldenEye, ID penginstalan ini berisi informasi yang diperlukan untuk pemulihan kunci.”

Jika klaim yang dibuat oleh peneliti benar bahwa varian baru Petya adalah malware yang merusak yang dirancang untuk menutup dan mengganggu layanan di seluruh dunia, malware tersebut telah berhasil menyelesaikan tugasnya.

Namun, masih spekulasi, namun virus tersebut terutama dan secara besar-besaran menargetkan beberapa entitas di Ukraina, termasuk metro lokal negara itu, bandara Boryspil, bandara Kiev, pemasok listrik, bank sentral, dan telekomunikasi negara.

Negara lain yang terinfeksi virus Petya termasuk Rusia, Prancis, Spanyol, India, China, Amerika Serikat, Brasil, Cile, Argentina, Turki dan Korea Selatan.

Bagaimana Petya masuk ke Komputer di Tempat Pertama?

Menurut penelitian yang dilakukan oleh Talos Intelligence, perusahaan kecil yang terkenal di Ukraina MeDoc kemungkinan merupakan sumber utama wabah ransomware global kemarin.

Periset mengatakan bahwa virus tersebut mungkin telah menyebar melalui pembaruan perangkat lunak berbahaya ke sistem akuntansi pajak Ukraina yang disebut MeDoc, meskipun MeDoc telah membantah tuduhan tersebut dalam sebuah posting Facebook yang panjang.

“Pada saat memperbarui program, sistem tidak bisa terinfeksi virus langsung dari file update,” versi terjemahan posting MeDoc berbunyi. “Kami dapat berpendapat bahwa pengguna sistem MEDoc tidak dapat menginfeksi PC mereka dengan virus pada saat memperbarui program.”

Namun, beberapa periset keamanan dan bahkan Microsoft setuju dengan temuan Talo, mengatakan bahwa MeDoc telah dilanggar dan virus tersebut menyebar melalui pembaruan.