Just Another Blogger

Monday, July 3, 2017

Tentang Ransomeware Petya dan Cara Menangkalnya

Tentang Petya

Pada tanggal 27 Juni 2017 mulai muncul laporan tentang kehadiran infeksi Ransomeware Petya di beberapa daerah di Eropa. Infeksi pertama terjadi di Ukraina. kabarnya virus ini melumpuhkan bank-bank dan maskapai penerbangan. Ransomeware ini sebenarnya sudah ada sejak lama, Dari microsoft didapatkan informasi virus ini pertama kali terlaporkan tanggal 28 Maret 2016 sebagai Ransom:win32/Petya. 
Virus Petya yang beredar saat ini adalah varian baru/versi terbaru dari Ransom:win32/Petya. Pada Petya sebelumnya virus hanya menginfeksi satu komputer. Pada versi terbaru ini sudah ditambahkan kemampuan menggandakan diri/menginfeksi komputer lain melalui jaringan komputer.

Cara Penyebaran 

Penyebaran awal Ransomeware Petya biasanya berupa link dari email yang akan mengarahkan kita untuk mendownload dan mengeksekusi program virus tanpa kita sadari. Selanjutnya Petya akan melakukan hal-hal seperti ini:
Menggunakan credential atau session yang aktif.
Menggunakan File sharing untuk menggandakan diri ke komputer lain di satu jaringan
Menggunakan celah keamanan SMB (Seperti virus Ransomeware WannaCry) untuk menyebarkan virus ke komputer lain.

Petya menempatkan tool untuk dumping credential karena banyak user yang sering login sebagai loka admin sehingga memiliki akses level yang sama dengan komputer lain di satu jaringan. Seperti yang kita tahu, hak akses administrator adalah segalanya bagi sebuah sistem operasi. Hal ini yang menjadikannya mudah untuk menyebar dan dieksekusi di komputer lain yang ada pada satu jaringan.
Setelah Petya mendapatkan akses level admin. Dengan segera dia akan melakukan scanning ke jaringan pada port tcp/139 dan port tcp/445.
Untuk komputer server atau domain controller. Petya akan memanggil dhcpEnumSubnets() untuk mendapatkan data-data komputer yang terhubung dengan domain kontroller.
Setelah Petya mendapatkan data-data komputer yang terhubung ke jaringan. Dia akan menyebarkan dirinya dengan cara menggandakan diri (copy) ke seluruh jaringan dengan credential yang sudah dicurinya.

Setelah itu dia akan mencoba mengeksekusi/menjalankan dirinya secara remote lewat PSEXEC atau WMIC tool.

Petya akan mencuri credential yang valid menggunakan fungsi CredEnumerateW untuk mendapatkan semua data credential pengguna yang ada di penyimpanan credential. 
Jika ditemukan credential dengan nama awal “TERMSRV/” dan tipenya diset 1 (generik), maka petya akan menggunakan credential ini untuk menggandakan diri di jaringan.

Kode Petya yang bertanggung jawab mengakses \\Admin$ di komputer lain. Sumber Microsoft
Petya juga menggunakan WMIC (Windows Management Instrumentation Command-line) untuk mencari remote sharing (menggunakan NetEnum/NetAdd) untuk menyebar/menggandakan diri ke komputer lain. Petya akan menggunakan duplikasi token dari user aktif saat ini atau menggunakan kombinasi user dan password (membaca dari dumping credential).

Mallware/Virus Petya mengeksekusi komputer lain secara remote dengan WMIC
Menggunakan eksploit Eternal Blue dan Eternal Romance.
Ransomeware Petya juga menggunakan bug pada SMB seperti halnya yang digunakan oleh Ransomeware WannaCry. Selain itu Petya juga menggunakan eksploit Eternal Romance untuk melakukan penyebaran ke komputer lain. Dua bug eksploit ini sudah ditambal oleh microsoft pada security update MS17-010 pada tanggal 14 Maret 2017. Kalau komputermu sudah diupdate setelah tanggal 14 Maret 2017 berarti kamu bisa merasa lega.

Sumber: MicrosoftPort 


Tindakan Pencegahan 

  1. Hal utama yang harus kamu lakukan untuk menangkal serangan virus Petya adalah dengan menjaga Sistem Operasi Windows-mu selalu diupdate secara berkala dan selalu up to date. Up to date ini bukan mengacu ke versi windowsnya ya, tetapi mengacu ke update-tan patch dari microsoft.
  2. Disable SMB v1. Karena mallware/virus ini menggunakan celah pada SMB v1, maka jalan paling pas untuk menekan jumlah kelahiran virus ini adalah dengan mendisable SMB v1. Cara menonaktifkan SMB v1 bisa dilihat disini Microsoft Knowledge Base Article 2696547
  3. Memblok Port 139 dan 445. Cara ini tidak saya rekomendasikan karena saya butuh port ini tetap aktif. Port 139 dan 445 digunakan untuk sharing file dijaringan. Kalau kamu nggak butuh fitur ini, ada baiknya port ini dimatikan.
  4. Anti virus yang up to date. Pastikan database virus aplikasi anti virus dikomputermu selalu up to date. Jangan anti virusnya yang selalu up to date, tapi data virusnya nggak pernah diupdate

 Kesimpulan

Gaung Ransomeware Petya di Indonesia memang tidak sedasyat Ransomeware WannaCry. Penyebaran Ransomeware Petya memang tidak semasif Ransomeware WannaCry. Selain itu patch yang telah dilakukan pada saat WannaCry muncul sudah membantu menangkal Ransomeware Petya.
Berbeda dengan WannaCry yang kabarnya sempat menyerang 2 rumah sakit di Indonesia. Sampai saat ini belum ada laporan tentang serangan mallware/virus Petya di Indonesia. Semoga saja virus ini memang benar tidak sampai ke Indonesia, bukan karena orang-orang di Indonesia lagi cuti bersama saat serangan ini datang.

Hal paling utama juga adalah, usahakan menggunakan windows asli, bukan bajakan. Karena hanya windows asli yang bisa diupdate. Jangan karena biar kekinian ikut-ikutan install windows bajakan. Saya pribadi di kantor menggunakan windows asli. Laptop keseharian saya dirumah juga sempat pakai windows asli (bundling). Namun karena partisinya rusak, akhirnya saya install ulang dan saat ini saya memakai linux kubuntu sebagai sistem operasinya. Kelebihan dari menggunakan komputer linux  adalah kamu tidak perlu khawatir sama ransomeware dan sejenisnya :)

Sumber: blog Microsoft technet: New ransomware, old techniques: Petya adds worm capabilities


12 comments:

  1. Nah itu permasalahan yang saya hadapi, menggunakan windows ori. Ah jadi tersinggung saya.

    ReplyDelete
    Replies
    1. Itu masalah bersama mas, Anti virusnya diupdate terus biar kebal

      Delete
  2. Virus kok namanya apik-apik yaaa :)

    ReplyDelete
    Replies
    1. iyo, malah ndisik ono sing jenenge Indonesia banget. Jenenge "Dirgantara Jaya", yek wes keserang parah, ning pojok kanan atas metu bendera indonesia, padahal jaman semono jek dos prompt lho

      Delete
  3. wahhh ini harus dihentikan bukan hanya dicegah saja...

    ReplyDelete
    Replies
    1. menghentikan virusnya di satu komputer bisa mas, tapi kalau seluruh dunia yo berat :P

      Delete
  4. pokonya harus update-in antivirus nih, yang jago karpersky sama norton

    ReplyDelete
    Replies
    1. rata2 anti virus sudah bisa semua, soalnya wabah dunia

      Delete
  5. wahhh... makasih banyak informasi nya... jadi paham saya bagaimana cara kerjanya nih virus..

    ReplyDelete
  6. Virus kok trus update sih. Ini yang bikin niat banget ganggu ketentraman pemilik PC.

    ReplyDelete
  7. Nggak cuma ganggu mas, niat pembuatnya mau memeras pemilik pc. Terima kasih sudah mampir

    ReplyDelete