Pemerintah minta masyarakat waspada Ransomware Petya

JAKARTA (IndoTelko) - Pemerintah meminta masyarakat untuk mewaspadai ancaman serangan virus ransomware bernama Petya.

Situs resmi Lembaga Sandi Negara (Lemsaneg) mengungkapkan Ransomware “Petya” dikabarkan telah menyebar begitu cepat dan menginfeski beberapa pengguna komputer di sebagian negara eropa seperti Rusia, Denmark, Ukraina, Spanyol, Prancis, Inggris serta India. Komputer yang menangani sistem perbankan, telekomunikasi dan jaringan listrik di sebagian negera seperti Rusia dan Ukraina di kabarkan menjadi korban keganasan malware ini hingga menyebabkan sistem lumpuh total.

“Petya’ adalah program virus ransomware yang bekerja sangat berbeda dari malware ransomware lainnya. Tidak seperti ransomware tradisional lainnya, Petya tidak mengenkripsi file pada sistem yang ditargetkan satu per satu. Namun justru sebaliknya, ‘Petya’ akan me-reboot system dan membajak komputer, serta mengenkripsi tabel file master hard drive (master file table-MFT) dan membuat master boot record (MBR) tidak dapat dioperasikan, membatasi akses ke sistem penuh dengan menyita informasi tentang nama file, ukuran, dan lokasi pada disk fisik.

Virus Malware Petya dapat menggantikan master boot record (MBR) komputer dengan kode berbahaya yang menampilkan pesan permintaan tebusan (ransom) dan membuat komputer tidak dapat melakukan booting.

"Pemerintah terus memantau dan memitigasi pergerakan dari penyebaran virus PETYA ini di Indonesia. Notifikasi telah dikeluarkan oleh ID-SIRTII (organisasi yang diampu oleh Kementerian Kominfo yang antara lain untuk menangani insiden seperti serangan siber) kepada para mitra yang bekerjasama seperti penyelenggara jasa akses Internet, Penyelenggara NAP, dan juga kepada Kementerian/Lembaga," ungkap Menkominfo Rudiantara dalam rilisnya (28/6).

Secara umum langkah penanganan Ransomeware Petya mirip dengan Ransomware Wannacry. Informasi tentang ini dapat diakses di alamat http://s.id/ransom

PC yang terinfeksi ransomware Petya akan muncul peringatan seperti berikut pada saat setelah proses reboot:

DO NOT TURN OFF YOUR PC! IF YOU ABORT THIS PROCESS,YOU COULD DESTROY ALL
OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED IN!

Jika muncul pesan seperti ini segera MATIKAN PC Anda, jika PC Anda tetap
dalam keadaan mati maka data Anda akan baik-baik saja.

(Asumsi antisipasi PC dalam keadaan mati)

1. Putuskan koneksi jaringan kabel LAN atau matikan koneksi WiFi (untuk sementara sampai seluruh langkah mitigasi selesai dilakukan dan telah dipastikan sistem operasi komputer telah terupdate dan data penting telah
diselamatkan / backup)

2. Lakukan backup semua data yang ada di PC / client / host maupun di server khususnya file sharing. Untuk keamanan, walaupun servernya menggunakan Linux, MacOS dll. Disarankan untuk membackup filenya juga ke external drive kemudian cabut external drive tersebut dan amankan di tempat lain. Apabila terhubung ke online cloud storage yang tersinkronisasi, maka putuskan hubungan untuk sementara sampai semuanya aman

3. Download Tools dan Security Patch secara manual dari komputer lain yang dipastikan aman

4. Install Tools dan Security Patch yang sudah di-download tersebut ke komputer target (korban)

5. Lakukan Full Scan PC / Laptop menggunakan Anti Virus dengan fitur Total Security dengan catatan AV tersebut sudah menggunakan update terbaru

6. Non-aktifkan Macro service pada MS.Office dan SMB Service pada PC / client / host maupun di server, aktifkan Firewall dan block Port 139, 445, 3389 untuk sementara sampai seluruh proses mitigasi, backup dan update
patch tuntas dilaksanakan dan tidak ada masalah lain:

- Cara untuk menonaktifkan macro service: https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office- documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

- Cara untuk menonaktifkan SMB service:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable- smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,- windows-server-2008-r2,-windows-8,-and-windows-server-2012

- Cara untuk menonaktifkan WMIC (Windows Management Instrumentation
Command-line) https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx

Beberapa langkah yang dapat dilakukan untuk mencegah penyebaran “Petya” adalah sebagai berikut :

1. “Petya” membutuhkan waktu sekitar satu jam untuk dapat menginfeksi komputer . Komputer anda seperti melakukan proses “checking disk CHKDSK” padahal saat ini lah “Petya” mengenkripsi hard drive anda. Langkah yang dapat dilakukan adalah dengan mematikan komputer dan segera ambil file-file penting anda dari komputer dengan LiveCD.

2. “Petya” memanfaatkan kelemahan pada Microsoft SMBv1 sama seperti “Wannacry” sehingga pencegahan dapat dilakukan dengan mengisntall patch MS17-010 atau menonaktifkan fungsi SMBv1. Anda tetap bisa menggunakan fungsi SMB pada Microsft Windows, dengan menggunakan SMBv2, SMBv3.

3. Update Signature antivirus/antimalware, beberapa produk antivirus dilaporkan telah dapat mendeteksi “Petya”.

4. Untuk administrator system pada jaringan network besar, pastikan Intrusion Prevention System (IPS) telah terupdate dengan signature terbaru dan lakukan monitoring pada port service 139/445 di firewall anda, lakukan pencegahan dengan mematikan service tersebut apabila terdapat aktivitas yang mencurigakan.

5. Gunakan system restore untuk mengembalikan komputer Anda jika ternyata terjangkit ransomware “Petya”

"Untuk saat ini belum ada cara mengatasi komputer yang terkena malware ini, opsi terburuk adalah menginstal ulang komputer anda dengan asumsi anda telah mengambil file penting pada komputer anda. Hal yang terbaik yang dapat dilakukan saat ini adalah dengan melakukan pencegahan malware tersebut," tulis situs resmi Lemsaneg.(id)