Dalam terakhir ini, seperti Malware Ransomeware menjadi hal yang menakutkan yang sering menghantui setiap perangkat teknologi. Setelah muncul Malware Ransomware Wanna cry dan Malware Ransomware Petya. Kini muncul hal terbaru yang bernama ransomware notPetya.

Meski namanya mirip dengan ransomware yang pertama kali muncul pada 2016 namun malware ini merupakan ancaman yang baru.

Oleh karena itu, periset menamakannya NotPetya sementara yang lain mengklasifikasikannya sebagai perangkat lunak “GoldenEye” (Petya + Mischa).

Ransomware ini menyebar melalui kombinasi sisi klien gabungan dan ancaman berbasis jaringan yang dapat menyebar dengan cepat menggunakan ETERNALBLUE.

Berikut ini adalah proses penyebaran malware ini :

  • Pertama kali muncul melalui update ke sistem akuntansi di Ukraina (ME Doc)
  • Spread seperti worm dari mesin yang terinfeksi
  • Menyerang Kerentanan pada kelemahan Windows SMB yang dieksploitasi
  • Menyebar ke jaringan lokal menggunakan Eternal
    Blue, psexec , WMIC
  • Enkripsi tabel MFT (Master File Tree) untuk Partisi NTFS
  • Menunjukkan uang tebusan menuntut USD 300, dompet bitcoin yang sama
  • Mencegah korban dari boot komputer mereka

Berikut ini adalah beberapa langkah-langkah untuk mencegah serangan malware ransomware notPetya ini :

  • Memperbaiki Deteksi (Implement IoCs in SoC)
  • Melakukan Update Sistem AV / Anit-Malware Anda
  • Mematikan Fitur Switch
  • Melaksanakan IOC ke SoC dan respon kejadian tepat waktu
    1. Menghapus log peristiwa windows menggunakan Wevtutil
    2. Mulai curiga terhadap suatu file yang memungkinkan terkena ransomeware
    3. Nonaktifkan reboot otomatis
    4. Mencegah hak istimewa admin lokal untuk pengoperasian pengguna normal
    5. Hindari SMB (Port 445) dan RDP di server
    6. Nonaktifkan SMB1 atau Cekal lalu lintas yang masuk ke port 445
    7. Kill Switch: Buat lah sebuah file di %windir% yang disebut perfc.dat, mencegah pembuatan file perfc.dat oleh Malware. Berikan akses Deny terkait permisi ke perfc.dat.
  • Jika terinfeksi
    1. Melapor ke lembaga penegak hukum dan ISAC (jika ada)
    2. Aktifkan rencana respons insiden Anda

INFORMASI TAMBAHAN

 

Block URLs

  • http://mischapuk6hyrn72.onion ; http://petya3jxfp2f7g3i.onion; http://petya3sen7dyko2n.onion; http://mischa5xyix2mrhd.onion/MZ2MMJ; http://mischapuk6hyrn72.onion/MZ2MMJ; http://petya3jxfp2f7g3i.onion/MZ2MMJ; http://petya3sen7dyko2n.onion/MZ2MMJ; http://benkow.cc/71b6a493388e7d0b40c83ce903bc6b04.bin COFFEINOFFICE.XYZ; http://french-cooking.com/

Block IP addresses

  • 95.141.115.108; 185.165.29.78; 84.200.16.242; 111.90.139.247

Update AV Hashes

  • a809a63bc5e31670ff117d838522dec433f74bee
  • bec678164cedea578a7aff4589018fa41551c27f
  • d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
  • aba7aa41057c8a6b184ba5776c20f7e8fc97c657
  • 0ff07caedad54c9b65e5873ac2d81b3126754aac
  • 51eafbb626103765d3aedfd098b94d0e77de1196
  • 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
  • 7ca37b86f4acc702f108449c391dd2485b5ca18c
  • 2bc182f04b935c7e358ed9c9e6df09ae6af47168
  • 1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
  • 82920a2ad0138a2a8efc744ae5849c6dde6b435d
  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL)
  • 64b0b58a2c030c77f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE)
  • fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL)
  • 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE)
  • eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998 (32-bit EXE)

Tampilan User Terinfeksi Malware Ransomware GoldenEye / NotPetya

Beberapa Langkah Pencegahan

 

Phishing & Attachments

  • Jangan membuka lampiran dalam e-mail yang tidak diminta, meskipun berasal dari orang-orang dalam daftar kontak Anda.
  • Jangan mengklik sebuah URL yang berisi email yang tidak diminta.
  • Gunakan browser untuk mengetikkan URL atau navigasikan melalui domain URL.
  • Laporkan setiap email / lampiran yang mencurigakan ke tim IT atau IS.

House Keeping

  • Patuhi kebijakan penggunaan komputer perusahaan.
  • Jangan mendownload perangkat lunak, video, MP3, dll.
  • Pastikan anti virus Anda diperbarui dan berjalan di komputer Anda.
  • Backup data penting Anda secara berkala.
  • Sisihkan waktu untuk mengupdate, menambal, dan update anti-virus.
  • Gunakan akun dengan tingkat hak istimewa pengguna terendah untuk menyelesaikan setiap tugas dan hindari menggunakan akun dengan admin