Minggu, 02 Juli 2017

cara terhindar dari ransomware petya (Wiper)

Saat saya sedang asyik membaca baca berita ternyata banyak banget website yang memposting bahaya virus atau ransomware Petya. Apakah petya ini lebih berbahaya dari Wannacry dan akan membuat lebih heboh serta bikin orang kebingungan saat dia menyerang atau ini hanya pengalihan isu saja, kita semua tidak ada yang tau tapi buat jaga jaga agar tidak terkena Wiper petya ini ada baiknya kalian membaca artikel ini karena artikel ini bener bener akan membahas apa itu Petya dan cara penanggulangannya.

mungkin anda penasaran bagaimana sih tampilan komputer saat terkena Wiper Petya ini, dan berikut ini adalah tampilannya :

petya virus
petya virus saat menyerang

tampilannya serem banget kan, semoga komputer atau laptop kalian tidak ada yang kena ya dan berikut ini adalah penjelasan mengenai wiper petya secara detail.


Apa itu petya? 

Petya adalah ransomware paling terkenal, mirip dengan WannaCry . Ini adalah aplikasi berbahaya yang dapat mengenkripsi semua file pribadi di komputer, sehingga Anda tidak dapat membuka atau mengakses file Anda lagi karena enkripsi. Petya ransomware adalah virus berbahaya yang membuat data tidak terbaca. Pertama Petya infiltrat sistem Anda, kemudian mulai prosedur enkripsi .

Apa yang dilakukan Petya? 

Ini adalah wiper dan tidak Ramsomware . Bahkan jika Anda membayar Bitcoins senilai $ 300 Anda tidak dapat memulihkan data kembali.

Cara Petya Menginfeksi

Petya awalnya dilaksanakan melalui rundll32.exe menggunakan perintah berikut:
rundll32.exe perfc.dat, # 1
Setelah DLL telah dimuat, pertama kali akan mencoba untuk menghapus diri dari sistem yang terinfeksi. Hal ini dilakukan dengan membuka file dan Timpa isinya dengan byte nol sebelum akhirnya menghapus file dari disk. Timpa file dengan byte null digunakan sebagai upaya untuk menggagalkan pemulihan file menggunakan teknik forensik.

Berikutnya, ia mencoba untuk membuat file berikut yang akan digunakan sebagai flag yang menunjukkan bahwa komputer telah terinfeksi:
C: \ Windows \ perfc


Infeksi MBR dan enkripsi

Setelah terinstal, Petya hasil untuk memodifikasi master boot record (MBR). Hal ini memungkinkan untuk membajak proses loading normal dari komputer yang terinfeksi selama reboot sistem berikutnya. MBR dimodifikasi digunakan untuk mengenkripsi hard disk sementara simulasi layar CHKDSK. Ini kemudian menampilkan catatan tebusan kepada pengguna.

MBR modifikasi tidak berhasil jika ancaman tersebut dijalankan sebagai user biasa namun ancaman masih akan mencoba untuk menyebar ke seluruh jaringan

Pada titik ini, reboot sistem dijadwalkan menggunakan perintah berikut:
"/ C di 00:49 C: \ Windows \ system32 \ shutdown.exe / r / f"
Dengan penjadwalan dan tidak memaksa reboot, ia menyediakan waktu untuk memungkinkan Petya untuk menyebar ke komputer lain di jaringan sebelum enkripsi user-mode terjadi.

Enkripsi File anda

Petya melakukan enkripsi dalam dua cara:

Setelah Petya telah menyebar ke komputer lain, enkripsi user-mode terjadi di mana file dengan ekstensi tertentu dienkripsi pada disk.
MBR dimodifikasi untuk menambahkan loader kustom yang digunakan untuk memuat simulator CHKDSK. simulator ini digunakan untuk menyembunyikan fakta bahwa enkripsi disk terjadi. Hal ini dilakukan setelah enkripsi mode pengguna terjadi dan dengan demikian enkripsi ada dua: mode pengguna dan penuh disk.
enkripsi user-mode

Setelah menyebar telah terjadi, Petya kemudian daftar semua file pada drive tetap (misalnya C: \) dan memeriksa salah satu ekstensi file berikut (melewatkan  % Windir%  direktori drive yang):
.3 DS .7z accdb Ai Asp .aspx .avhd ack .bak c Cfg .conf Cpp Cs CTL .dbf .disk .djvu .doc .docx .dwg eml .fdb .gz H . hdd .kdbx .mail .mdb .msg .nrg .ora Ost .ova .ovf .pdf php .pmf .ppt .pptx pst .pvi py Pyc Rar rtf Sln .sql Tar .vbox. vbs .vcb VDI .vfd .vmc .vmdk .vmsd Vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Jika salah satu ekstensi file cocok dengan daftar file, enkripsi terjadi.

Wiper vs ransomware

Seperti disebutkan, enkripsi dilakukan oleh Petya ada dua; pertama jenis file tertentu yang dienkripsi dalam user-mode setelah menyebar terjadi dan kunci dienkripsi dengan kunci publik tertanam, Base64 dikodekan, dan ditambahkan ke file README.TXT.

Setelah reboot sistem terjadi, MBR yang terinfeksi dimuat, enkripsi disk dimulai, dan catatan tebusan ditampilkan kepada pengguna. "Kunci instalasi" dirujuk dalam catatan tebusan adalah string secara acak yang ditampilkan kepada pengguna. Kunci Salsa20 secara acak kemudian digunakan untuk enkripsi disk. Karena tidak ada hubungan antara “kunci instalasi” dan kunci Salsa20, disk tidak pernah dapat didekripsi. Hal ini menunjukkan bahwa Petya lebih akurat wiper daripada ransomware.

Cara Terhindah Dari Petya

untuk terhindar dari wiper petya silakan anda update windows anda ke paling baru dan menginstall anti virus dan mengupdate database virusnya ke yang paling baru.

itulah wiper petya dan cara menanggulanginya, semoga membantu.


EmoticonEmoticon