Ternyata Petya Bukan Ransomware

Petya Bukan Ransomware

Ternyata "Petya Bukan Ransomware", Ini jenis Wiper (Menghapus dengan Merusak MBR)!!!

Perkembangan penelitian tentang wabah virus ransomware jenis baru dengan code name "petya" disimpulkan sementara bahwa PC yang terjangkit tidak dapat kembali lagi meskipun anda menebusnya.

Dan ransomware itu sedang mewabah saat ini di dunia.

Berikut penjelasan para pakar virus yang admin terjemahkan kedalam bahasa Indonesia.

Rabu, 28 Juni 2017 oleh Swati Khandelwal

Bagaimana jika saya mengatakan wabah malware global hari Selasa yang menghancurkan bukan karena adanya infeksi ransomware?

Ya, serangan ransomware Petya yang mulai menginfeksi komputer di beberapa negara, termasuk Rusia, Ukraina, Prancis, India dan Amerika Serikat pada hari Selasa dan menuntut $ 300 uang tebusan tidak dirancang dengan maksud mengembalikan komputer sama sekali.

Menurut sebuah analisis baru, virus ini dirancang agar terlihat seperti ransomware namun merupakan wiper malware yang menghapus komputer secara langsung, menghancurkan semua catatan dari sistem yang ditargetkan.

Pendiri Comae Technologies Matt Suiche, yang secara ketat melihat operasi malware tersebut, mengatakan setelah menganalisis virus tersebut, yang dikenal sebagai Petya, timnya menemukan bahwa itu adalah "malware penghapus, bukan ransomware.

Pakar keamanan bahkan percaya bahwa serangan sebenarnya telah disamarkan untuk mengalihkan perhatian dunia dari serangan yang disponsori negara di Ukraina terhadap wabah malware.

"Kami percaya bahwa ransomware ini sebenarnya adalah daya tarik untuk mengendalikan narasi media, terutama setelah insiden WannaCry, untuk menarik perhatian pada beberapa kelompok hacker misterius daripada penyerang negara nasional," tulis Suiche.

Apakah Petya Ransomware yang salah atau terlalu pintar?

Petya adalah malware jahat yang, tidak seperti jenis ransomware tradisional lainnya, tidak mengenkripsi file pada sistem yang ditargetkan satu per satu.

Sebaliknya, Petya reboot mengorbankan komputer dan mengenkripsi tabel master master hard drive (MFT) dan membuat master boot record (MBR) tidak dapat dioperasikan. membatasi akses ke sistem penuh dengan memanfaatkan informasi tentang nama file, ukuran, dan lokasi pada disk fisik.

Kemudian Petya ransomware mengambil salinan MBR yang dienkripsi dan menggantinya dengan kode berbahaya yang menampilkan catatan tebusan, sehingga komputer tidak dapat lagi melakukan booting.

Selain itu, setelah menginfeksi satu mesin, ransomware Petya memindai jaringan lokal dan dengan cepat menginfeksi semua mesin lain (bahkan sepenuhnya ditambal) pada jaringan yang sama, menggunakan alat pemurni EternalBlue SMB, WMIC dan PSEXEC.

Namun, varian baru Petya ini tidak menyimpan salinan MBR yang diganti, secara keliru atau sengaja, membiarkan komputer yang terinfeksi tidak bisa boot meski korban mendapatkan kunci dekripsi.

Jangan Bayar Ransom; Anda Tidak Akan Mendapatkan File Anda Kembali

Sejauh ini, hampir 45 korban telah membayar total $ 10,500 di Bitcoin dengan harapan bisa mendapatkan file terkunci mereka kembali, tapi sayangnya, mereka tidak mau.

Itu karena alamat email, yang sedang disiapkan oleh penyerang untuk berkomunikasi dengan korban dan mengirim kunci dekripsi, diskors oleh penyedia Jerman sesaat setelah wabah.

Artinya, meski korban membayar uang tebusan, mereka tidak akan pernah bisa memulihkan file mereka. Periset dari Kaspersky Lab juga mengatakan hal yang sama.

"Analisis kami menunjukkan ada sedikit harapan bagi korban untuk memulihkan data mereka Kami telah menganalisis kode enkripsi tingkat tinggi, dan kami telah mengetahui bahwa setelah enkripsi disk, aktor ancaman tidak dapat mendekripsi disk korban," Kata perusahaan keamanan.

"Untuk mendekripsi aktor ancaman disk korban memerlukan ID penginstalan. Pada versi sebelumnya dari 'mirip' seperti troans seperti Petya / Mischa / GoldenEye, ID penginstalan ini berisi informasi yang diperlukan untuk pemulihan kunci."

Jika klaim yang dibuat oleh peneliti benar bahwa varian baru Petya adalah malware yang merusak yang dirancang untuk menutup dan mengganggu layanan di seluruh dunia, malware tersebut telah berhasil menyelesaikan tugasnya.

Namun, masih spekulasi, namun virus tersebut terutama dan secara besar-besaran menargetkan beberapa entitas di Ukraina, termasuk stasiun metro lokal negara itu, bandara Boryspil, bandara Kiev, pemasok listrik, bank sentral, dan telekomunikasi negara.

Negara lain yang terinfeksi virus Petya termasuk Rusia, Prancis, Spanyol, India, China, Amerika Serikat, Brasil, Cile, Argentina, Turki dan Korea Selatan.

Bagaimana Petya masuk ke Komputer Pertama kali?

Menurut penelitian yang dilakukan oleh Talos Intelligence, perusahaan kecil yang terkenal di Ukraina, MeDoc kemungkinan merupakan sumber utama wabah ransomware global kemarin.

Periset mengatakan bahwa virus tersebut mungkin telah menyebar melalui pembaruan perangkat lunak berbahaya ke sistem akuntansi pajak Ukraina yang disebut MeDoc, meskipun MeDoc telah membantah tuduhan tersebut dalam sebuah posting Facebook yang panjang.

"Pada saat memperbarui program, sistem tidak bisa terinfeksi virus langsung dari file update," versi terjemahan posting MeDoc berbunyi. "Kami dapat berpendapat bahwa pengguna sistem MEDoc tidak dapat menginfeksi PC mereka dengan virus pada saat memperbarui program."

Namun, beberapa periset keamanan dan bahkan Microsoft setuju dengan temuan Talo, mengatakan bahwa MeDoc telah dilanggar dan virus tersebut menyebar melalui pembaruan.

Di terjemahkan dari : http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html?m=1