Setelah kemarin muncul virus Wanna Cry, kini muncul ransomware baru yang di namakan NOTPETYA, saya akan coba share informasi dari forum CISO (Chief Of Information Security Officer) EC Council dan dari berbagai sumber lain mengenai ransomware jenis ini.
Menurut para ahli, meskipun ransomware ini mirip seperti virus PETYA yang pertama kali muncul di tahun 2016, ditenggarai bahwa strain ini adalah jenis yang sama sekali baru. Oleh Karena para periset menamainya dengan NOTPETYA, sementara para periset yang lain menggolongkannya sebagai perangkat lunak GoldenEye ( Petya + Mischa).
Sejauh ini, sebagian besar infeksi telah terjadi di Ukraina dan Rusia, namun beberapa nama besar di Barat juga menderita. Misalnya saja media periklanan internasional WPP dilaporkan telah mengalami offline akibat serangan ini, firma hukum global DLA Piper juga dilaporkan terinfeksi. Biro pengiriman Maersk memperingatkan adanya pemadaman di seluruh dunia yang benar-benar dapat membumbui pasar global. Rantai pasokan transportasi Terminal komputer di pelabuhan utama disibukkan berjam-jam oleh malware.
Di Ukraina sendiri, yang tampaknya menjadi titik nol bagi serangan tersebut, situasinya sangat penting. Sejumlah besar bisnis telah tertanam oleh perangkat lunak jahat, dan telah mematahkan sistem pemantauan radiasi otomatis di Chernobyl, yang berarti beberapa ilmuwan harus mengambil pembacaan secara manual untuk saat ini.
Menurut polisi cyber di Ukraina, terdapat email phishing yang dilampiri malware, pada awalnya perusahaan perangkat lunak keuangan MeDoc digunakan untuk menginfeksi komputer di negara bekas Soviet tersebut.
Mengacu pada situs the register para pelakunya berhasil mengkompromikan pembaruan perangkat lunak untuk produk biz, yang banyak digunakan di negara ini, sehingga saat diunduh dan dipasang oleh korban, jaringan mereka terkontaminasi dengan NotPetya. Jika software ini berjalan dengan akses admin domain, maka akan segera selesai sudah semuanya.
Masih dari situs yang sama pembuat perangkat lunak pajak tersebut mengaku telah melakukan hacking namun mengatakan update software terakhir dikirim pada 22 Juni, tepat sebelum serangan hari Selasa. Namun, polisi mengatakan bahwa pada tanggal 27 Juni, server pembaruan - upd.me-doc.com.ua - mendorong unduhan 333KB ke pelanggan yang membongkar RUNDLL32.EXE yang berisi kejahatan NotPeyta.
Ransomware ini menyebar melalui kombinasi sisi klien gabungan (CVE-2017-0199) dan ancaman berbasis jaringan (MS17-010). Ini menyebar dengan cepat menggunakan ETERNALBLUE (MS17-010), sementara hash hash dan psexec dipanen sebagai vektor infeksi dari setiap mesin yang terinfeksi.
Proses Infeksi
- Tiba melalui update ke sistem akuntansi di Ukraina (ME Doc)
- Menyebar seperti worm dari mesin yang terinfeksi
- Exploited kerentanan Windows SMB (alias EternalBlue), perbaiki oleh Microsoft dilepaskan (MS17-010)
- Menyebar ke dalam jaringan lokal menggunakan Blue Abadi, psexec, WMIC
- Mengenkripsi tabel MFT (Master File Tree) untuk partisi NTFS
- Menimpa MBR (Master Boot Record) dengan bootloader kustom
- Menunjukkan catatan tebusan yang menuntut USD 300, Dompet bitcoin yang sama
- Mencegah korban dari booting komputer mereka.
- Enskripsi Hard drive lokal.
Tidak ada jaminan pemulihan file sebagai email (wowsmith123456@posteo.net) sudah tidak berlaku lagi. Ini sebenarnya kemungkinan besar bukan ransomware melainkan malware perusak destruktif yang paling berbahaya yang disamarkan sebagai uang tebusan. Pembacaan kode yang dilakukan  menunjukkan tidak ada jalan bagi data untuk dipulihkan, kecuali hanya hancur.
Panduan yang di sarankan oleh Tim EC Council adalah sebagai berikut:
- Melaksanakan Indicent Response Scanner (IOC) ke Security Operation Center(SoC) dan reaksi kejadian tepat waktu IOC terperinci
- Menghapus log peristiwa windows menggunakan Wevtutil
- Indikator yang terdeteksi bahwa file adalah alat ransom
- Nonaktifkan reboot otomatis
- Mencegah hak istimewa admin lokal untuk operasi pengguna normal
- Hindari SMB (Port 445) dan RDP di server [Bimbingan]
- Nonaktifkan SMB1 atau Cekal lalu lintas yang masuk ke port 445
- Kill Switch: Buat file dalam% windir% yang disebut perfc.dat, mencegah pembuatan file perfc.dat oleh Malware. Deny menulis permisi ke perfc.dat.
- Jika terinfeksi Laporkan ke petugas penegak hukum dan ISAC (jika ada)
- Aktifkan rencana respons insiden Anda
Block URLs
- http://mischapuk6hyrn72.onion ;
- http://petya3jxfp2f7g3i.onion; http://petya3sen7dyko2n.onion
- http://mischa5xyix2mrhd.onion/MZ2MMJ; http://mischapuk6hyrn72.onion/MZ2MMJ http://petya3jxfp2f7g3i.onion/MZ2MMJ; http://petya3sen7dyko2n.onion/MZ2MMJ http://benkow.cc/71b6a493388e7d0b40c83ce903bc6b04.bin COFFEINOFFICE.XYZ
- http://french-cooking.com/
- Block IP addresses 95.141.115.108; 185.165.29.78; 84.200.16.242; 111.90.139.247
Update AV Hashes
- a809a63bc5e31670ff117d838522dec433f74bee
- bec678164cedea578a7aff4589018fa41551c27f
- d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
- aba7aa41057c8a6b184ba5776c20f7e8fc97c657
- 0ff07caedad54c9b65e5873ac2d81b3126754aac
- 51eafbb626103765d3aedfd098b94d0e77de1196
- 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
- 7ca37b86f4acc702f108449c391dd2485b5ca18c
- 2bc182f04b935c7e358ed9c9e6df09ae6af47168
- b83c00143a1bb2bf16b46c01f36d53fb66f82b5
- 82920a2ad0138a2a8efc744ae5849c6dde6b435d
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL)
- 64b0b58a2c030c77f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE)
- fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL)
- 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE)
- eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998 (32-bit EXE)
Semoga Bermanfaat.
Referensi
Prepared by Subrahmanya Gupta BODA, Group CISO, EC-Council, C|CISO, gupta.boda@eccouncil.org Overview
http://www.wired.co.uk/article/petya-malware-ransomware-attack-outbreak-june-2017
https://www.binarydefense.com/petya-ransomware-without-fluff/ https://medium.com/@thegrugq/pnyetya-yet-another-ransomware-outbreak-59afd1ee89d4 Spread / impact
https://intel.malwaretech.com/ Advisories
https://www.us-cert.gov/ncas/alerts/TA17-132A
Goldeneye Ransomware -- the Petya/Mischa combo rebranded
https://www.crowdstrike.com/blog/fast-spreading-petrwrap-ransomware-attack-combines-eternalblue-exploit-credential-stealing/ Prevention Scripts
https://twitter.com/0xAmit/status/879778335286452224 Decryption related * None found yet History
https://blog.malwarebytes.com/threat-analysis/2016/05/petya-and-mischa-ransomware-duet-p1/ https://securelist.com/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/77762
https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/