Vaksin Ransomware Petya

Masyarakat awam sempat dibuat panik oléh pesan yang disebar melalui WhatsApp, BlackBerry Messenger dan Telegram tentang dampak menakutkan bila komputernya terserang ransomware WannaCry sehingga saking takutnya, ada teman saya yang tidak mau menghidupkan komputer selama hampir satu pekan. Belum hilang rasa takut terhadap WannaCry, hari ini muncul kembali berita baru tentang ransomware bernama Petya. Apalagi dikabarkan bahwa pembuat Petya belajar dari kesalahan WannaCry sehingga Petya lebih sempurna dari pada pendahulunya. Benarkah?

Pembuat WannaCry melakukan beberapa kesalahan logika yang menguntungkan korban, misalnya: File-file yang beratribut read-only ternyata sama sekali tidak diénkripsi (tidak diacak menggunakan kata sandi). Hanya dibuat beratribut hidden. Kemudian WannaCry membuat salinan dan salinan itulah yang diénkripsi. Dengan demikian, file-file ini bisa dikembalikan seperti semula. Tapi ada kabar buruk. File-file yang berada di folder penting misalnya My Documents dan Desktop, benar-benar diénkripsi sehingga tidak ada cara lain untuk menyelamatkannya kecuali membayar tebusan yang belum tentu juga ditepati janjinya.

Petya/NoPetya/ExPetr (selanjutnya disebut Petya) lebih tepat disebut wiper dari pada ransomware, sebab dari analisis, diketahui bahwa data yang ditimpakan ke file korban bukan hasil énkripsi, tapi benar-benar random. Artinya, pembuat Petya tidak bisa mengembalikan file yang disanderanya, sekali pun korban telah membayar tebusan dan mengirim personal installation key. Ini tentu menyeramkan, mengingat banyak perusahaan besar menjadi korban Petya yang disinyalir menyebar dari Ukraina.

Untuk selanjutnya, saya akan tetap menyebut Petya sebagai ransomware ketimbang wiper, karena istilah wiper belum begitu populer di masyarakat kita.

Teknik menambal celah keamanan (patch) pada Windows telah tersebar sehingga tidak perlu ditulis di sini. Jadi sekarang saya akan membagikan cara membuat vaksin agar komputer kita kebal dari serangan ransomware Petya.

Penjelasan cepat (untuk ahli komputer):

Buat 3 file berikut ini di folder C:\Windows
 1. Perfc
 2. Perfc.dat
 3. Perfc.dll
 Setelah itu ubah atributnya menjadi Read Only.

Prosés vaksinasi di atas hanya butuh waktu 15 detik. Juga file yang dihasilkan berukuran 0 byte.

Penjelasan langkah per langkah (untuk orang awam):

Ransomware adalah program komputer jahat (malware) yang mengunci file-file di komputer korbannya sehingga tidak bisa digunakan, sampai si korban membayar uang tebusan.

Kill switch adalah kondisi yang bisa menghentikan jalannya suatu program komputer. Kill switch dibuat secara rahasia oléh si pembuat program komputer untuk suatu alasan, misalnya agar program komputer buatannya tidak justru menyerang komputernya sendiri atau komputer keluarganya. Bisa juga untuk memastikan bahwa penyebarannya bisa dihentikan bila dianggap bola salju yang menggelinding sudah terlalu besar tak terkendali.

Kill switch ransomware WannaCry adalah sebuah nama domain[1]. Bila WannaCry melihat nama domain tersebut ada / terdaftar, maka program dihentikan. Sedangkan kill switch Petya adalah 3 file di folder C:\Windows. Bila 3 file ini ditemukan, Petya tidak bisa diéksekusi. Untuk Petya, kill switch ini lebih cenderung kesalahan logika pemrograman (bug) dari pada sengaja dibuat oléh programmernya.

Cara membuat Vaksin Petya secara manual.

  1. Klik kanan tombol Start (ada di kiri bawah).
  2. Pilih: Command Prompt (Admin).
  3. Muncul jendéla “User Account Control”. Klik: Yes.
  4. Ketik: CD .. lalu tekan tombol ENTER.
  5. Ketik: COPY CON PERFC lalu tekan tombol ENTER.
  6. Tekan tombol Ctrl dan Z secara bersamaan.
  7. Ketik: COPY CON PERFC.DAT lalu tekan tombol ENTER.
  8. Tekan tombol Ctrl dan Z secara bersamaan.
  9. Ketik: COPY CON PERFC.DLL lalu tekan tombol ENTER.
  10. Tekan tombol Ctrl dan Z secara bersamaan.
  11. Ketik: ATTRIB +R PERFC.* lalu tekan tombol ENTER

Hasilnya seperti gambar di bawah ini.

Selesai. Mudah kan?
Silakan di-share. Semoga bermanfaat.

Penutup:

Tampaknya pembuat WannaCry masih tergolong lebih baik hati karena menyediakan kill switch, ketimbang pembuat Petya yang tidak menyediakan kill switch. Di masa depan, kemungkinan besar akan lahir ransomware-ransomware baru yang lebih canggih dan lebih sadis.

Pencegahan termudah adalah: Gunakan sistem operasi Windows terbaru (Windows 10) yang asli (bukan bajakan) lalu minimal satu pekan sekali dihubungkan ke Internét agar mendapat pembaruan (updates). Windows Defender (Antivirus dan Antimalware bawaan Windows) sebenarnya sudah bagus. Aplikasi ini otomatis diaktifkan bila tidak ada antivirus lain yang terpasang. Tapi bila kita hendak memperkokoh pertahanan, bisa memasang aplikasi gratis bernama Kaspersky Anti Ransomware. Untuk mengunduh, kita hanya diminta mengisi formulir yang bisa diisi dengan data asal-asalan. Kaspersky Anti Ransomware bisa aktif berdampingan bersama Windows Defender. Ukurannya pun kecil, nyaris tidak terasa keberadaannya.
Untuk perusahaan besar, bisa juga dibuat peraturan bahwa komputer yang berisi data sénsitif (misalnya keuangan) tidak boléh terhubung langsung ke Internét sehingga karyawan tidak bisa membuka lampiran surat éléktronik (email) yang ditumpangi ransomware.

Catatan:

[1] Nama domain yang dijadikan kill switch oleh WannaCry adalah:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Web Hosting

Leave a Reply