Kini serangan malware dari jenis ransomware (program jahat komputer yang menyandera dokumen korban) baru kembali muncul untuk melancarkan serangan yang mengacaukan dunia. Ransomware baru yang masih kerabat "WannCry" itu bernama "Petya"

JAKARTA, GRESNEWS.COM - Serangan malware (program yang dirancang bertujuan menyusup atau merusak sebuah sistem komputer) "WannaCry" belum benar-benar tuntas ditangani. Kini serangan malware dari jenis ransomware (program jahat komputer yang menyandera dokumen korban) baru kembali muncul untuk melancarkan serangan yang mengacaukan dunia. Ransomware baru yang masih kerabat "WannCry" itu bernama "Petya"

Kehadiran Petya dideteksi perusahaan keamanan ESET sebagai Win32/Diskcoder.C. Malware ini jika berhasil menginfeksi master boot record MBR, akan mengenkripsi keseluruhan drive. Serangan Petya ini disebut lebih ganas dari WannaCry, berbagai perusahaan dan analis keamanan cyber pun langsung mengeluarkan peringatan.

Serangan Petya dikombinasikan melalui celah keamanan EternalBlue dan EternalRomance mengeksploitasi SMB yang sebelumnya digunakan WannaCry untuk masuk ke dalam jaringan, kemudian menyebar melalui PSExec untuk menyebar di dalam jaringan. "Kombinasi berbahaya ini menjadi alasan mengapa wabah ini menyebar secara global dan cepat. Menggunakan dua eksploit kit ini, ransomware menyebar melalui LAN ke komputer lain," kata analis keamanan cyber ESSET Yudhi Kukuh, Rabu (28/6).

Dijelaskannya, Petya tidak seperti WannaCry yang hanya akan menyebar melalui LAN, dan tidak melalui internet. Hanya dibutuhkan satu komputer yang belum di patch untuk masuk ke dalam jaringan, ransomware bisa langsung mendapatkan hak administrator dan menyebar ke komputer lain dalam satu jam.

"Akibatnya banyak bank, jaringan listrik dan perusahaan pos terinfeksi. Bahkan kantor-kantor pemerintah yang memiliki keamanan berlapis berhasil ditembus. Berbagai laporan insiden dari berbagai penjuru dunia masih terus berdatangan," papar Yudhi.

Banyak perusahaan kebingungan mengetahui ransomware mampu mengunci ratusan komputer dalam jaringan yang sama hanya dalam waktu satu jam. Jika pada serangan WannaCry yang menggunakan eksploit kit EternalBlue dapat dihentikan melalui mekanisme KillSwitch, Petya sudah mengantisipasi dengan tidak menyediakan kemungkinan adanya KillSwitch.

Dikutip dari The Independent, Petya juga menginfeksi komputer di perusahaan WPP, sebuah perusahan Periklanan di Inggris serta Maersk, perusahaan pelayaran Denmark. Informasi terakhir dari lab ESET disebutkan, sebaran dimulai melalui server yang dimiliki sebuah perusahaan software akuntansi M.E.Doc yang telah disusupi hacker dan dimanfaatkan untuk melakukan penyebaran ransomware secara massive, sehingga M.E.Doc menuliskan peringatan dan permohonan maaf pada webnya.

Dikatakakan Yudhi, ransomware Petya menduplikasi metode serangan WannaCry meskipun ada perbedaan mendasar pada akibatnya. Sementara WannaCry hanya mengenkrip file tertentu, Petya mampu mengenkrip seluruh hardisk pada akhirnya.

"Dengan metode ini, ada kemungkinan akan mencapai Indonesia dengan cepat seperti halnya WannaCry, terlebih saat ini sedang libur panjang di mana kewaspadaan biasanya berkurang dan udpdate sistem atau aplikasi terhenti," kata Yudhi.

Peringatan ini memang tidak mengada-ada, melainkan belajar dari pengalaman sebelumnya, ketika WannaCry menyerang Indonesia. Meski tidak jatuh terlalu banyak korban, serangan ini cukup menggegerkan karena menyasar Rumah Sakit Dharmais.

"Kehadiran Petya sudah dideteksi ESET melalui update terakhir bernomor 15653. Namun demikian, pengguna tetap harus selalu mawas diri dan terus meng-update seluruh software atau aplikasi yang digunakan dalam komputer," saran Yudhi.

Dia menambahkan, jika sudah sempat terkena gejala awal adanya peringatan yang muncul melalui layar monior, segera matikan komputer melalui tombol power. Dengan cara ini, ada kemungkinan file diselamatkan karena ransomware belum sempat mengenkripsi seluruh harddisk.

"Saat ini email pengembang malware yang digunakan untuk menerima Bitcoin wallet ID dan personal installation key sudah dinonaktifkan oleh provider email, sehingga usaha pembayaran tebusan tidak dimungkinkan," tutupnya.

Sementara itu, pakar keamanan siber Pratama Persadha menjelaskan, serangan Petya punya kemampuan untuk menghentikan proses booting pada windows, sehingga praktis komputer sama sekali tidak bisa diakses. Duplikasi golden eye ini mengenkripsi file dan NTFS (New Technology File System) yang secara default sudah ada pada komputer windows sehingga tidak bisa melakukan booting.

"Melihat serangan yang ada dan keterangan dari berbagai pihak yang menjadi korban, nampaknya update keamanan dari Microsoft praktis tidak berguna sama sekali untuk menghadapi ransomware ini," terangnya.

Sama seperti halnya wannacry, pelaku serangan ransomware kali ini juga meminta tebusan lewat pembayaran bitcoin. Kenapa bitcoin, karena dianggap lebih aman dan tidak mudah dilacak kepemilikan akun bitcoin itu sendiri. Inilah alasan kenapa para pelaku kejahatan siber hampir selalu menggunakan bitcoin untuk bertransaksi dan memeras korbannya.

ANTISIPASI PETYA - Terkait serangan ransomware Petya ini, Menteri Komunikasi dan Informatika (Menkominfo) Rudiantara meminta masyarakat untuk waspada dalam antisipasi serangan virus ransomware Petya dengan pengamanan data. "Saat ini dalam skala global sedang terjadi serangan virus ransomware Petya. Pemerintah terus memantau dan memitigasi pergerakan dari penyebaran virus Petya ini di Indonesia," katanya melalui pesan yang disebarkan di media sosial di Jakarta, Rabu (28/6).

Cara bekerja virus Petya, sama seperti dengan ransomware WannaCry. "Cara bekerjanya mirip dengan ransomware WannaCry yang menyerang skala global pada 13 Mei yang lalu," jelasnya.

Lebih lanjut, Menteri Kominfo melalui id-SIRTI, pemerintah telah mengeluarkan notifikasi kepada seluruh stakeholders. "Notifikasi telah dikeluarkan oleh id-SIRTI, organisasi yang diampu Kemkominfo untuk menangani insiden seperti serangan siber, kepada para mitra yang bekerja sama seperti penyelenggara layanan internet, NAP maupun kementerian/lembaga," paparnya.

Kepada masyarakat luas, Rudiantara mengingatkan untuk melakukan backup data sebelum mengaktifkan komputer. "Selain backup data juga pastikan update security patch terbaru sebagai langkah antisipasi," paparnya.

Serangan ransomware bernama Petya, lanjut Rudiantara, dikabarkan telah masuk ke sistem komputer di beberapa Negara di Eropa dan Asia Selatan. “Ransomware ini harus saat ini juga diwaspadai dan diantisipasi. Dalam konsisi liburan ini saya mengimbau kepada penyelenggara sistem elektronik atau komputer maskapai penerbangan dan bandara untuk tetap terkondisi normal, jangan sampai terkena malware yang menyebabkan disfungsi sistem komputer untuk pelayanan publik,” imbau Menteri Kominfo.

Petya adalah program virus ransomware yang bekerja sangat berbeda dari malware ransomware lainnya. Tidak seperti ransomware tradisional lainnya, Petya tidak mengenskripsi file pada sistem yang ditargetkan satu per satu.

Berikut beberapa langkah, sebagaimana dikutip melalui laman lemsaneg.go.id, yang dapat dilakukan untuk mencegah penyebaran Petya adalah sebagai berikut :

1. Petya membutuhkan waktu sekitar satu jam untuk dapat menginfeksi komputer. Komputer anda seperti melakukan proses "checking disk CHKDSK" padahal saat ini lah Petya mengenskripsi hard drive anda. Langkah yang dapat dilakukan adalah dengan mematikan komputer dan segera ambil file-file penting anda dari komputer dengan LiveCD.

2. Petya memanfaatkan kelemahan pada Microsoft SMBv1 sama seperti WannaCry sehingga pencegahan dapat dilakukan dengan meng-install patch MS17-010 atau menonaktifkan fungsi SMBv1. Anda tetap bisa menggunakan fungsi SMB pada Microsft Windows, dengan menggunakan SMBv2, SMBv3.

3. Update Signature antivirus/antimalware, beberapa produk antivirus dilaporkan telah dapat mendeteksi Petya.

4. Untuk administrator system pada jaringan network besar, pastikan Intrusion Prevention System (IPS) telah ter-update dengan signature terbaru dan lakukan monitoring pada port service 139/445 di firewall anda, lakukan pencegahan dengan mematikan service tersebut apabila terdapat aktivitas yang mencurigakan.

5. Gunakan system restore untuk mengembalikan komputer Anda jika ternyata terjangkit ransomware Petya

Untuk saat ini belum ada cara mengatasi komputer yang terkena malware ini, opsi terburuk adalah menginstal ulang komputer anda dengan asumsi anda telah mengambil file penting pada komputer anda. Hal yang terbaik yang dapat dilakukan saat ini adalah dengan melakukan pencegahan malware tersebut. (dtc/setkab)