Serangan ransomware Petya: bagaimana dan siapa yang dijangkiti; bagaimana untuk menghentikannya

Serangan ransomware baru yang menggunakan versi diubahsuai kelemahan EternalBlue yang dieksploitasi dalam serangan WannaCry muncul pada hari Selasa dan telah memukul lebih dari 2000 PC di seluruh dunia di Sepanyol, Perancis, Ukraine, Rusia dan negara-negara lain.

Serangan ini terutama menyasarkan perniagaan di negara ini sementara sebuah hospital di Pittsburg, Amerika Syarikat juga telah dilanda. Para korban serangan itu termasuk Bank Sentral, Keretapi, Ukrtelecom (Ukraina), Rosnett (Rusia), WPP (UK) dan DLA Piper (USA), antara lain.

Manakala bilangan jangkitan tertinggi telah dijumpai di Ukraine, yang kedua tertinggi di Rusia, diikuti oleh Poland, Itali dan Jerman. Akaun bitcoin yang menerima pembayaran telah menyelesaikan lebih dari 24 transaksi sebelum ditutup.

Juga Baca: Hacker Ransomware Petya Kurang Akses ke Akaun E-mel; Mangsa Kiri Tersasar.

Walaupun serangan itu tidak disasarkan ke arah perniagaan di India, ia menargetkan raksasa penghantaran AP Moller-Maersk dan Pelabuhan Jawaharlal Nehru berada di bawah ancaman kerana syarikat itu mengendalikan Terminal Gateway di pelabuhan.

Bagaimana Petya Ransomware Tersebar?

Ransomware menggunakan eksploitasi serupa yang digunakan dalam serangan besar-besaran WannaCry ransomware pada awal bulan ini yang menyasarkan mesin yang berjalan pada versi Windows yang sudah lapuk, dengan sedikit pengubahsuaian.

Kelemahan ini boleh dieksploitasi melalui pelaksanaan kod jauh pada PC yang menjalankan sistem Windows XP ke Windows 2008.

Ransomware menjejaskan PC dan reboot menggunakan alat sistem. Setelah menaikkan semula, ia menyulitkan jadual MFT dalam partition NTFS dan menimpa MBR dengan loader tersuai yang memaparkan nota penebusan.

Menurut Kaspersky Labs, "Untuk menangkap bukti untuk menyebarkan, ransomware menggunakan alat khusus, la Mimikatz. Kelayakan cabutan ini dari proses lsass.exe. Selepas pengekstrakan, kelayakan diberikan kepada alat PsExec atau WMIC untuk diedarkan di dalam rangkaian."

Apa yang Berlaku Selepas PC Dijangkiti?

Selepas Petya menjangkiti PC, pengguna kehilangan akses ke mesin yang memaparkan skrin hitam dengan teks merah di atasnya yang berbunyi seperti berikut:

"Jika anda melihat teks ini, fail anda tidak dapat diakses lagi kerana ia telah disulitkan. Mungkin anda sibuk mencari jalan untuk memulihkan fail anda, tetapi jangan buang masa kita. Tiada siapa yang boleh memulihkan fail anda tanpa perkhidmatan penyahsulitan kami."

Dan terdapat arahan mengenai pembayaran $ 300 dalam Bitcoins dan cara untuk memasukkan kunci penyahsulitan dan mengambil fail.

Bagaimana untuk Tetap Selamat?

Pada masa ini, tidak ada cara yang konkrit untuk menyahsulit fail yang dipegang tebusan oleh Petya ransomware kerana ia menggunakan kunci penyulitan padu.

Tetapi laman web keselamatan Bleeping Computer percaya bahawa mencipta fail baca sahaja bernama 'perfc' dan meletakkannya dalam folder Windows dalam cakera C boleh membantu menghentikan serangan itu.

Ia juga penting bahawa orang yang masih belum dapat segera memuat turun dan memasang patch Microsoft untuk sistem operasi Windows lama yang menamatkan kerentanan yang dieksploitasi oleh EternalBlue. Ini akan membantu melindungi mereka daripada serangan oleh strain malware yang serupa seperti Petya.

Jika mesin reboot dan anda melihat mesej ini, matikan segera! Inilah proses penyulitan. Jika anda tidak kuasa, fail adalah baik-baik saja. pic.twitter.com/IqwzWdlrX6

- Hacker Hebat (@hackerfantastic) 27 Jun 2017

Walaupun bilangan dan magnitud serangan ransomware bertambah dengan setiap hari yang berlalu, disarankan bahawa risiko jangkitan baru menurun dengan ketara selepas beberapa jam pertama serangan tersebut.

Juga Baca: Ransomware Attacks on the Rise: Berikut adalah Cara Tetap Selamat.

Dan dalam kes Petya, penganalisis meramalkan bahawa kod itu menunjukkan ia tidak akan tersebar di luar rangkaian. Tiada sesiapa yang dapat membuat siapa yang bertanggungjawab untuk serangan ini.

Penyelidik keselamatan masih belum menemui cara untuk menyahsulit sistem yang dijangkiti oleh ransomware Petya dan kerana walaupun penggodam tidak dapat dihubungi sekarang, semua orang yang terjejas akan tetap demikian buat masa ini.