Runsomeware Petya merupakan salah satu varian dari malware ransomware, Menurut catatan Symantec, Ransomeware jenis Petya sudah ada sejak tahun 2016. Nama lainnya adalah: NotPetya, Mischa, GoldenEye. Perusahaan Besar Kaspersky mengatakan Petya dirancang sebagai wiper yang kemudian berpura pura menjadi ransomware.

Malware ini menjanjikan akan memberikan kode unik untuk membuka kunci dokumen yang terenkripsi. akan tetapi, menurut analisa yang dilakukan oleh Kaspersky, sekalipun Petya memberikan kode unik itu, maka sejatinya itu hanyalah data acak biasa.

Program jahat jenis wiper punya tujuan merusak, atau bahkan menghancurkan data pada media penyimpanan komputer. Berdasarkan analisis Kaspersky, maka bisa kita sebut Petya tidak punya kode unik untuk membuka kunci dokumen yang telah terenkripsi, karena dia adalah program jahat penghancur data di hard drive yang menyamar jadi ransomware.

Ransomeware Petya dapat menggantikan master boot record (MBR) komputer dengan kode berbahaya yang menampilkan pesan permintaan tebusan (ransom) dan membuat komputer tidak dapat melakukan booting.

Hal ini menjadi berita buruk bagi korban. karena, walaupun korban telah membayar uang tebusan, Petya tidak akan mengembalikan datanya. Analisa ini sekaligus memperkuat anggapan bahwa penjahat Petya bukan hanya termotivasi meraih keuntungan finansial, tetapi juga ingin merusak sistem komputer korban.

Ransomware Petya hanya menyerang komputer dengan sistem operasi Windows. Malware ini melakukan exploitasi celah keamanan yang dinamakan EternalBlue pada OS Windows, yang juga jadi celah utama yang ditargetkan WannaCry.

Ransomware WannaCry sendiri, berasal dari sebuah program mata-mata yang dibuat dan dimiliki oleh Badan Intelijen Amerika Serikat (National Security Agency/NSA). Program mata-mata ini kemudian bocor dan dipakai para peretas untuk menerobos keamanan sistem operasi Windows.

Format Dokumen yang Dikunci atau Dirusak Petya

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h. hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Langkah Pencegahan

  1. Petya membutuhkan waktu sekitar satu jam untuk dapat menginfeksi komputer. cara mengindikasi malware tersebut telah terkena malware tersebut adalah Komputer anda seperti melakukan proses “checking disk CHKDSK”. padahal saat ini lah “Petya” mengenkripsi hard drive anda. Langkah yang dapat dilakukan adalah dengan mematikan komputer dan segera ambil file-file penting anda dari komputer dengan LiveCD.
  2. Petya memanfaatkan kelemahan pada Microsoft SMBv1 sama seperti “Wannacry” sehingga pencegahan dapat dilakukan dengan mengisntall patch MS17-010 atau menonaktifkan fungsi SMBv1. Anda tetap bisa menggunakan fungsi SMB pada Microsft Windows, dengan menggunakan SMBv2, SMBv3.
  3. Update Signature antivirus/antimalware,
  4. Untuk network sysadmin, pastikan Intrusion Prevention System (IPS) telah terupdate dengan signature terbaru dan lakukan monitoring pada port service 139/445 di firewall.
  5. Gunakan system restore untuk mengembalikan komputer Anda jika ternyata terjangkit ransomware “Petya”

Sumber:

http://thehackernews.com/2016/04/ransomware-decrypt-tool.html
http://www.lemsaneg.go.id/index.php/waspada-bahaya-serangan-ransomware-petya-dan-tindakan-pencegahannya/
https://kumparan.com/muhammad-fikrie/semua-yang-perlu-diketahui-tentang-ransomware-petya-ada-di-sini