Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • RANSOMWARE PETYA MENYERANG STRUKTUR LOW LEVEL
  • Teknologi

RANSOMWARE PETYA MENYERANG STRUKTUR LOW LEVEL

4 min read

Credit image: Pixabay

Petya berbeda dari ransomware populer lainnya yang ada saat ini. Modusnya tidak mengenkripsi file satu per satu, tetapi membendung setiap akses ke seluruh sistem dengan menyerang struktur low level pada harddisk.

Pembuat ransomware ini tidak hanya menciptakan boot loader mereka sendiri tetapi juga kernel kecil dengan 32 sektor panjangnya.

Petya dropper membuat kode berbahaya pada awal disk. Sistem yang terkena dampak master boot record (MBR) ditimpa dengan boot loader yang memuat kernel kecil berbahaya. Kemudian, kernel ini berlangsung dengan enkripsi lanjut.

Menurut ransom note, Petya menyatakan telah mengenkripsi seluruh disk, tetapi ini tidak benar. Sebaliknya, ia mengenkripsi tabel master file (MFT) sehingga sistem file tidak terbaca.

Petya pertama kali diketahui saat didistribusikan via email yang mengincar departemen HRD pada sebuah perusahaan di Jerman. Email ini berisi link dropbox ke sebuah aplikasi yang mengunduh file dan ketika dijalankan akan menginstal ransomware Petya ke komputer. Contoh nama file yang menjadi installer saat itu adalah Bewerbungsmappe-gepackt.exe.

Penting untuk diingat bahwa banyak informasi yang buruk di web tentang bagaimana memperbaiki komputer Anda saat terenkripsi oleh Petya.

Banyak situs-situs diluaran sana menyatakan bahwa Anda bisa menggunakan command FixMBR untuk memperbaiki MBR Anda dengan menghapus infeksi.

Meskipun ini akan menghapus lockscreen, tapi tidak akan mendekripsi MFT dan karenanya file dan Windows akan tetap tidak dapat diakses.

Proses Enkripsi

Ketika pertama kali diinstal, Petya akan mengganti boot drive yang ada di Master Boot Record alias MBR dengan malicious loader. MBR adalah informasi yang ditempatkan di awal harddisk yang memberitahu komputer bagaimana ia seharusnya melakukan booting sistem operasi.

Hal ini menyebabkan Windows reboot untuk menjalankan loader ransomware malicious baru, dengan menampilkan layar yang berpura-pura sebagai CHKDSK.

Selama tahap CHKDSK palsu, Petya akan mengenkripsi Master File Table (MFT) pada drive. Setelah MFT corrupt, atau dalam kata lain terenkripsi, komputer tidak akan mengetahui dimana lokasi file atau bahkan jika ada maka file tersebut tidak akan dapat diakses.

unduhan (1)

Setelah tugas CHKDSK palsu selesai, korban akan disajikan dengan lock screen yang menampilkan petunjuk yang mengarahkan ke situs TOR dan ID unik yang harus digunakan pada situs tersebut untuk membayar tebusan.

Saat pembayaran tebusan telah dilakukan, korban akan menerima password untuk dimasukkan ke dalam layar agar komputer dapat didekripsi.

Saat korban mengunjungi situs, mereka akan menampilkan halaman CAPTCHA, setelah captcha dimasukkan, mereka akan menunjukkan halaman pertama situs dekripsi, yang menyediakan informasi tentang apa yang terjadi pada komputer.

Jika korban mengklik start proses dekripsi, maka akan ada 5 langkah proses di mana mereka akan belajar bagaimana melakukan pembayaran dan akhirnya mengambil password.

Tahap 1: Masukkan data pengenal personal

Ini adalah langkah awal untuk mendapatkan kode proses dekripsi

Tahap 2: Membeli Bitcoin

Bagian ini pelaku ingin korban melakukan pembelian bitcoin sebagai barter untuk mendapatkan kunci dekripsi.

Tahap 3: Transaksi Bitcoin

Korban akan diminta melakukan transaksi bitcoin dengan cara mengirimkan bitcoin yang dibeli ke alamat yang sudah disediakan.

Tahap 4: Menunggu Konfirmasi

Selanjutnya korban harus menunggu konfirmasi, konfirmasi ini akan dilakukan secara manual dan biasanya membutuhkan waktu sampai satu jam, dalam kasus tertentu membutuhkan waktu sampai 12 jam.

Tahap 5: Tahap akhir

jika pembayaran tebusan telah dikirim ke alamat terkait. Dari sini dapat diasumsikan bahwa tahap kelima akan ditampilkan halaman yang berisi lock screen di mana password harus dimasukkan pada komputer korban. Begitu password dimasukkan, ransomware akan mendekripsi MFT dan memulihkan MBR asli. Ini akan memungkinkan korban untuk booting kembali ke Windows dan mengakses file kembali.

Kesimpulan

Dalam hal rancangan kode, Petya sangat maju dan khas. Terlihat dari kualitas FUD yang baik, dropper yang disamarkan dengan hati-hati dengan jantung ransomware yaitu sebuah kernel kecil menggambarkan bahwa pembuat ransomware ini sangat terampil.

Namun, pemilihan arsitektur low level memiliki beberapa keterbatasan, misal: ukuran kode yang kecil dan ketidakmampuan untuk menggunakan panggilan API.

Ia membuat kriptografi yang sulit. Itu sebabnya kunci dihasilkan oleh lapisan yang lebih tinggi pada Windows executable. Solusi ini bekerja dengan baik, tetapi menunjukkan kelemahan yang memungkinkan untuk mendapatkan kunci (jika kita berhasil menangkap Petya pada Tahap 1, sebelum kunci dihapus).

Sebagian besar pembuat ransomware sangat memperhatikan tingkat keahlian user, sehingga orang awam sekalipun akan mampu melakukannya dengan mudah saat melakukan pembayaran.

Karena bila mempersulit akses ke seluruh sistem tidak hanya akan merugikan bagi user, tetapi juga untuk distributor ransomware, karena akan membuat korban lebih sulit dalam membayar uang tebusan.

Dari penjelasan di atas langkah terbaik dalam menaklukan ransomware apapun itu, bukanlah dengan mengobati tapi dengan melakukan tindakan pencegahan yang dirancang dengan sistematis dan dilakukan secara prosedural, terutama dalam penanganan email masuk yang menjadi alat utama penyebaran infeksi ransomware.

Teknik social engineering semacam ini memang selalu menjadi senjata utama penjahat ransomware yang digunakan untuk menjebak calon korban dengan cara-cara persuasif untuk membuat user tertarik untuk membuka email attachment, karena itu user harus menggunakan mail security sebagai cara untuk mengidentifikasi email yang masuk sehingga bisa terhindar dari serangan ransomware semenjak dini.

Sumber: bleepingkomputer.com

Tags: ESET deteksi Ransomware Ransomware ransomware Indonesia

Continue Reading

Previous: ANALISIS LOCKY
Next: ESET RILIS TESLACRYPT DECRYPTOR

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.