Seperti yang sudah Trentech jelaskan kemarin, bahwa Petya yang menyerang saat ini (NotPetya / Petya 2017) dibuat berdasarkan ransomware Petya 2016. Namun tidak seperti Petya original yang berupa ransomware untuk mencari uang, NotPetya merupakan wiper yang dibuat secara khusus untuk merusak. Master Boot Record dimodifikasi, Master File Table dienkripsi, dan beberapa sektor data di hardisk sengaja di overwrite, dihapus, dan tidak disimpan dimanapun hingga terlihat mustahil untuk dikembalikan lagi.
Melihat fenomena ini, sang pencipta Petya original akhirnya muncul dan berniat membantu korban NotPetya. Hacker — dengan nama online Janus — ini muncul lagi melalui Twitter setelah 6 bulan lamanya menghilang. Janus menyatakan kembali lagi untuk melihat NotPetya dan memastikan apakah bisa enkripsi Wiper ganas ini dijinakkan dengan privkey / master decription key dari Petya, mengingat NotPetya juga dibuat berdasarkan kode dari Petya yang dibuatnya.
we’re back havin a look in “notpetya” maybe it’s crackable with our privkey #petya @hasherezade sadly missed ;)
— JANUS (@JanusSecretary) June 28, 2017
Bagi kamu yang belum tahu, Janus ini adalah hacker pembuat Petya original yang mulai diketahui merebak sejak 2016. Tetapi jiwa bisnis hacker ini sangat tinggi. Dia tidak hanya menjalankan Petya sendirian dan mengambil semua uang tebusannya, tetapi Janus juga menyewakan ransomware Petya ini dalam bentuk layanan (Ransomware as-a-Service / RaaS) mulai Maret 2016. Ini artinya setiap orang bisa menggunakannya, menyebarkannya, dan jika ada orang membayar uang tebusan, Janus akan mendapatkan bagian sekian persen dari uang tebusan tersebut.
Apakah Korban NotPetya Bakal Terbantu oleh Kreator Petya?
Sangat disayangkan, berbeda dengan Petya buatan Janus, NotPetya sepertinya tidak ada ketertarikan dengan uang. Memang cara kerjanya seperti sebuah ransomware yang seolah-olah meminta tebusan, tetapi sang pembuatnya sendiri terlihat tidak niat dalam mengembalikan data korbannya.
Pertama, ada banyak sektor di hardisk yang dihapus, direwrite, dan tidak disimpan di sektor manapun hingga hampir mustahil dikembalikan lagi. Kedua, email sang pembuat bukanlah email aktif, sehingga para korban yang sudah membayar juga mustahil bisa menghubungi pembuat NotPetya untuk meminta key atau hal lainnya. Ketiga, personal key yang ditampilkan kepada korbannya hanya berupa random karakter dan tidak konsisten, yang bisa jadi hanya sekedar tipuan atau hiasan semata.
Mengingat Janus tengah memeriksa apakah master descryption key miliknya bisa mendekripsi Master File Table (MFT) dari hardisk korban, hal ini tidak akan begitu bisa membantu, kecuali jika Janus (atau security researcher lain) menemukan cara untuk memperbaiki MBR yang dirusak dan dihapus tanpa copy oleh NotPetya.
Oleh karena itu pastikan kamu saat ini waspada dan melindungi komputer kamu agar tidak terinfeksi dengan NotPetya / Petya 2017. Mencegah lebih baik daripada mengobati — karena ibarat penyakit, NotPetya ini belum ada obatnya sampai sekarang. [wp/ap]