Ransomware Petya Menyerang MBR

Posted: April 2, 2016 in Berita, News, Tak Berkategori, Techno
Tag:

Popularitas malware yang berjenis ransomware dapat dibilang memuncak dan menjadi malware yang paling menakutkan saat ini. TeslaCrypt, Cerber, Locky, CTBLocker, CryptoWall merupakan nama ransoware yang familiar di Indonesia karena tingkat penyebarannya yang banyak dilaporkan oleh user yang terinfeksi.

Tidak hanya mengenkripsi file-file pada komputer korban, ada juga ransomware baru dengan nama Petya yang menginfeksi master boot record (MBR) dengan cara mengenkripsi Master File Table (MFT) pada harddisk sehingga user tidak dapat mengakses file-filenya.

Dibuat dengan menggunakan Microsoft Visual C++ dan berukuran 226 KB, Petya merupakan inovasi ransomware terbaru yang mengancam user komputer dengan memodifikasi MBR untuk meminta tebusan sebesar 0.99 BTC atau sekitar 5.5 juta rupiah untuk mendapatkan kunci yang dapat mengembalikan sistem yang terkunci.

Penyebaran

Kebanyakan ransomware lain seperti Locky menyebar melalui spam yang dipicu oleh file Microsoft Word atau exploit kits pada lampiran email.  Petya sendiri memanfaatkan spam tersebut dengan menaruh link layanan file sharing seperti Dropbox yang seakan-akan berisi berkas lamaran kerja. Ketika link dibuka, terdapat folder di Dropbox yang berisi Curriculum Vitae (CV) berupa dua file yaitu file foto dan file executable yang menyamar sebagai file CV. File CV inilah yang akan menginfeksi sistem dan membajak isi komputer Anda.

Metode Infeksi

Ketika dijalankan, Petya akan memodifikasi MBR sehingga membuat user tidak dapat masuk ke Windows meskipun Safe Mode melainkan tampilan yang berisi pesan pembajakan komputer.

MBR merupakan boot sector atau lokasi sebelum partisi awal harddisk yang berisi informasi bagaimana partisi menampung sistem file. Pada MBR juga terdapat kode executable yang berfungsi sebagai loader untuk sistem operasi yang terinstall.

Petya menggunakan jenis enkripsi XOR sehingga masih ada kemungkinan untuk adanya program decryptor. Petya juga membuat loader yang berisi pesan untuk memberi tahu user jika komputer telah dienkripsi. Untuk melakukan aksinya ini, ransomware ini menggunakan manifest file yang ter-embedded untuk mencapai akses sebagai administrator. Fitur User Account Control (UAC) sebenarnya sudah dapat memperingati user untuk tidak melanjutkan eksekusi dari file berbahaya ini meskipun demikian banyak user yang masih mengacuhkan peringatan tersebut.

Petya memanggil perintah ExitWindowsEx atau NtRaiseHardError untuk membuat BSOD sehingga memaksa user untuk restart secara paksa komputer. Ketika komputer dihidupkan kembali, boot loader akan menampilkan layar CHKDSK (check disk) palsu. Ketika CKHDSK palsu berjalan, ransomware akan mengenkripsi MFT yang berisi informasi penting nama file dan ukurannya sehingga file Anda menjadi tidak dapat diakses. Setelah itu, barulah pesan peringatan kepada user jika komputer telah terinfeksi ransomware Petya.

Tampilan CHKDSK Palsu

Tampilan Pesan Komputer Terinfeksi

Pembersihan

Sampai saat tulisan ini dibuat, belum tersedia program untuk memperbaiki payload dari ransomware Petya. Anda dapat menggunakan perintah FixMBR atau boot melalui CD Windows dan akses fitur Repair untuk memperbaiki MBR yang termodifikasi oleh ransomware sehingga tampilan layar pengunci tidak muncul dan kembali melanjutkan proses ke Windows. Namun, file-file tetap masih tidak dapat diakses karena MFT telah termodifikasi oleh Petya.

Kesimpulan

Berbeda dari jenis ransomware lainnya yang memanfaakan fitur macro pada Microsoft Office, Petya hanya mencantumkan link ke Dropbox dan berharap target membuka link dan menjalankan file yang tersedia di Dropbox. Mengapa Petya tidak menggunakan file Word atau file script untuk menjalankan dirinya? Hal ini diperkirakan tidak akan mengecoh pendeteksian dari antivirus, oleh karena itu, Petya akan langsung berusaha mengecoh user.

PCMAV Mendeteksi Petya

Edukasi untuk antisipasi terhadap ancaman teknik phising tentunya harus dipahami oleh user komputer sehingga terhindari ancaman malware mengerikan ini.

Salah satu cara yang efektif untuk melindungi data yaitu dengan melakukan backup data. Hindari menjalankan file executable baik itu berekstensi .exe, .cmd, .bat, .pif, .scr, .com serta file script seperti .vbs, .hta dan lainnya.

PCMAV 10.1.5 dapat mengenali berbagai varian malware terbaru yang dilaporkan menyebar di Indonesia termasuk Petya dan ransomware lainnya, baik yang menyebar melalui file dokumen, HTA, JS dan VBS. Pastikan juga untuk selalu mengupdate signatures dengan Update Build terbaru yang didapatkan melalui update online atau blog VirusIndonesia.com untuk mendeteksi ancaman malware terbaru.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s