Panduan Teknologi Penuh Inspirasi

 


Avast Merilis Empat Decryptor Ransomware Terbaru

0
Posted December 7, 2016 by Fajar Anggiawan in News

Kembalikan file yang terenkripsi ransomware menggunakan Avast’s Ransomware Decryptors

Ransomware merupakan jenis malware yang in-the-wild saat ini. Kita telah melihat peningkatan sebanyak 105% per tahun dari serangan ransomware. Oleh karena itu, Avast berusaha membantu para korban dengan merilis empat program decryptor yang berfungsi untuk mengembalikan file yang terenkripsi dari ransomware terbaru seperti Alcatraz Locker, CrySiS, Globe, dan NoobCrypt.

Semua program decryptor tersedia di https://www.avast.com/ransomware-decryption-tools beserta informasi penginfeksian dari setiap ransomware. Sekarang, Anda telah memiliki suatu program untuk mengembalikan data yang terinfeksi dari jenis-jenis ransomware berikut:

  • Alcatraz Locker
  • Apocalypse
  • BadBlock
  • Bart
  • Crypt888
  • CrySiS
  • Globe
  • Legion
  • NoobCrypt
  • SZFLocker
  • TeslaCrypt

Semua program decryptor tersedia secara gratis dan akan di-update jika memang ada perubahan pada cara pemulihan data.

cta_ransomware_500x200px_03bjz

Setelah Avast merilis tujuh decryptor pada gelombang pertama, ada banyak ucapan terima kasih kepada Avast dari korban yang terkena ransomware karena program tersebut telah menyelamatkan data digital dan bisnis mereka. Avast berharap dengan empat decryptor baru ini akan lebih banyak menolong orang yang menjadi korban akibat serangan ransomware yang terus hadir.

Berikut penjelasan singkat dari empat ransomware terbaru yang telah berhasil dibuat decryptor-nya oleh Avast:

 

Alcatraz Locker

Ancaman ransomware Alcatraz Locker hadir di pertengahan November 2016. File yang dienkripsi oleh Alcatraz Locker memiliki ekstensi “.Alcatraz”.  Setelah mengenkripsi file, muncul pesan dengan nama file “ransomed.html” di desktop pada komputer korban:

01

Tidak seperti karakteristik ransomware lain, Alcatraz tidak menampilkan daftar file yang terenkripsi. Dalam kata lain, Alcatraz akan mengenkripsi file apa saja yang ia temukan dan dapat dienkripsi.  Untuk mencegah kerusakan pada drive sistem, Alcatraz Locker hanya mengenkripsi file di folder %PROFILES% yang  biasanya terletak di  C:\Users.

Alcatraz Locker mengenkripsi file menggunakan fungsi kriptografi internal Windows yaitu Crypto API.

02

Pesan dari ransomware ini menyatakan jika jenis enkripsi yang digunakan yaitu AES-256 128-bit. Namun, kenyataannya ransomware ini hanya menggunakan SH1 160-bit sebagai kunci untuk enkripsi AES 256-bit. Berikut pengacakan pada algoritma pengenkripsian menggunakan Crypto API:

  1. Membuat array 256-bit berisi nilai heksa 0x36
  2. Melakukan enkripsi XOR pada 16-bit pertama dari array dengan SHA1 160-bit
  3. Hitung nilai hash SHA1 dari array yang telah di-XOR (disebut hash1)
  4. Membuat array 256-bit berisi nilai heksa 5C
  5. Melakukan enkripsi XOR pada 16-bit pertama dari array dengan SHA1 160-bit
  6. Hitung nilai hash SHA1 dari array yang telah di-XOR (disebut hash2)
  7. Menggabungkan 160 bit dari hash1 dan 96 bit hash2

Hasil dari algoritma tersebut digunakan sebagai kunci untuk enkripsi AES-256.

Setelah mengenkripsi file dengan AES-256, ransomware melakukan encoding terhadap file terenkripsi dengan BASE64 sehingga pola file yang terinfeksi Alcatraz Locker seperti gambar berikut:

03

Informasi dari ransomware ini menyatakan jika satu-satunya cara untuk mendapatkan data kembali yaitu dengan membayar 0.3283 Bitcoin atau sekitar $240 ketika tulisan ini dibuat. Namun, apabila Anda menggunakan Avast Decryption Tool for Alcatraz, Anda dapat mengembalikan data yang terinfeksi secara gratis. Hanya ada 30 hari untuk menyelamatkan data yang terenkripsi berdasarkan pesan dari ransomware, namun pesan tersebut tidak tepat karena Anda dapat mengembalikan data Anda kapan saja meskipun sudah melewati 30 hari.

 

CrySiS

Dikenal juga dengan nama JohnyCryptor atau Virus-Encode, Crysis mulai melakukan serangan sejak September 2015. Teknik enkripsi ransomware ini tergolong kuat yaitu menggunakan AES dan RSA. Tidak ada daftar file yang terenkripsi melainkan informaasi ekstensi yang tidak akan dienkripsi.

File yang terenkripsi memiliki pola: <nama-file-asli>.id-<nomor>. <email@domain.com>.<ekstensi>

Nomor ID dan alamat email tidak selalu sama dan sejauh ini hanya ditemukan tiga ekstensi yang digunakan yaitu .xtbl, .lock, dan .CrySiS.

Contoh hasil nama file yang terenkripsi yaitu:

  • .johnycryptor@hackermail.com.xtbl
  • .systemdown@india.com.xtbl,
  • .Vegclass@aol.com.xtbl,
  • .{funa@india.com}.lock
  • {milarepa.lotos@aol.com}.CrySiS

Setiap file yang terenkripsi memiliki data yang dibutuhkan untuk mengenkripsi file itu sendiri. Ukuran file di bawah 262144 bytes akan dienkripsi secara penuh dan di struktur akhir terdapat kunci AES yang terenkripsi dengan data lain seperti nama file asli. Kunci dan data inilah yang dapat memungkinkan proses decrypt secara penuh. Untuk ukuran file yang lebih besar dari 262144 bytes, hanya sebagian struktur file yang dienkripsi dan membuat ukuran file menjadi lebih besar.

Setelah mengenkripsi file, ransomware menampilkan pesan untuk bagaimana menyelamatkan data yang terenkripsi.  Pesan ini terdapat pada file “Decryption instructions.txt“, “Decryptions instructions.txt“, atau “README.txt” di desktop pada komputer yang terinfeksi.

Beberapa contoh dari pesan dari Crysis:

04

05

 

Globe

Globe merupakan jenis ransomware yang mulai terlihat sejak Agustus 2016. File ransomware dibuat dengan menggunakan bahasa pemrograman Delphi dan biasanya di-packed menggunakan UPX. Beberapa varian juga di-packed dengan Nullsoft Installer:

  • bc4c0b2f6118d36f4d476db16dbd6bcc0e393f2ad08429d16efe51f3d2870d58
  • fdc8de22653ebcf4cb8f5495b103e04079b0270efa86f713715f0a81f1b2e9b0

06

Pada binary file yang di-unpacked, terdapat informasi konfigurasi secara umum, dimana seseorang dapat memodifikasi beberapa fitur dari ransomware ini:

  • Nama file executable di folder %APPDATA%
  • Ekstensi dari file yang terenkripsi
  • Daftar tipe file atau ekstensi yang akan dienkripsi
  • Pesan ransomware di format HTML
  • Opsi agar ransomware harus mengenkripsi nama file atau tidak
  • Opsi agar ransomware harus mengecek sandboxes seperti VirtualBox, VirtualPC, VMWare atau Anubis
  • Opsi agar ransomware harus aktif di start-up atau tidak
  • Opsi agar ransomware harus menghapus restore points atau tidak

Dikarenakan ransomware ini dapat dimodifikasi, ada banyak jenis varian dari Globe yang beredar dengan beragam ekstensi file yang berbeda.

Hal yang menarik lainnya yaitu ransomware memiliki mode debug internal yang dapat diaktifkan melalui registry berikut:

08

Ketika diaktifkan, ransomware akan menampilkan kotak pertanyaan untuk setiap langkah aksinya:

09

10

11

12

13

Berdasarkan contoh file, Globe mengenkripsi file dengan menggunakan enkripsi RC4 atau BlowFish. Ketika ransomware dikonfigurasi untuk mengenkripsi nama file, teknik enkripsi yang sama diimplementasikan seperti pengenkripsian file, hanya saja ditambah encoding BASE64.

Berbagai ekstensi yang dapat diperbaiki menggunakan Avast Decryption Tool antara lain:

  • .globe
  • .GSupport3
  • .siri-down@india.com
  • .zendrz
  • .decryptallfiles@india.com
  • .MK

Umumnya, ransomware membuat file dengan nama “Read Me Please.hta” atau “How to restore files.hta”, yang ditampilkan ketika pengguna masuk ke Windows:

14

Jangan bayar tebusan! Gunakanlah Globe Decryption Tool.

 

NoobCrypt

Ransomware ini ditemukan di Juli 2016. Project ini dibuat menggunakan bahasa pemrograman C# dengan memanfaatkan algoritma enkripsi AES256. Tampilan pesan dari ransomware ini tergolong agresif dimana muncul ketika file korban telah terenkripsi.

15

Isi tulisan dapat dibilang kacau karena ada pesan yang tidak selaras, misalnya pembayaran diminta menggunakan sejumlah uang dengan mata uang Selandia Baru (NZD) tapi meminta pembayaran melalui alamat Bitcoin. Terdapat juga tulisan “Made in ROMANIA” yang tidak sinkron dengan asal pembuat ransomware.

Nama NoobCrypt sendiri diambil dari tulisan yang terdapat di dalam kode ransomware.

16Kualitas kode dari NoobCrypt tergolong jelek, tetapi pembuatnya justru memanggil korban dengan sebutan Noobs (newbie) yang berarti pemula.

NoobCrypt menyediakan kode untuk mengembalikan file yang terenkripsi dengan harus membayar biaya tebusan terlebih dahulu. Jakub Kroustek dari Avast sendiri telah membuat status di Twitter berisi kode unlock di Twitter  untuk semua varian NoobCrypt yang telah diketahui, tetapi kode ini harus disesuaikan terlebih dahulu untuk digunakan. Dengan program decryptor yang baru ini, Anda tidak perlu menentukan kode apa yang harus digunakan untuk mengembalikan file yang terenkripsi.

Setelah kode unlock ini diedarkan, peneliti malware dengan nickname xXToffeeXx memberitahukan Avast tentang ditemukannya versi NoobCrypt yang dijual di beberapa market underground. Versi ini dijual seharga $300.

17 18

Penjual ransomware ini bahkan membuat video demonstrasi  yang diklaim sebagai fitur baru seperti penggunaan “Military Grade Encryption” atau tidak terdeteksi oleh semua antivirus terkecuali AVG, dimana hal ini sebenarnya tidak terbukti dengan banyaknya antivirus yang mendeteksi ransomware ini.

19

Seperti yang Anda lihat dari gambar, penjual bahkan menggunakan nama  Jakub Kroustek pada tulisan di pesan ransomware untuk ucapan terima kasih.

20

Saat ini, Avast mempersembahkan program decryptor untuk NoobCrypt. Proses dekripsi atau pengembalian data cukup mudah dibandingkan menentukan kode unlock yang tepat dan Anda tidak perlu tergantung lagi dengan kode dekripsi dari NoobCrypt. (Anda seharusnya tidak pernah percaya terhadap ransomware untuk mendekripsi file Anda bukan?)

Penjelasan tentang NoobCrypt dan program decryptor-nya

 

Bagaimana melindungi diri Anda agar tidak menjadi korban ransomware?

Pertama dan terpenting, pastikan Anda memiliki antivirus yang ter-install seperti Avast, termasuk di perangkat ponsel yang juga terdapat ancaman ransomware. Antivirus dapat memblok ransomware sebelum file dienkripsi, misalnya ketika secara tidak sengaja Anda men-download malware.

Hal selanjutnya yang dapat Anda lakukan untuk melindungi diri Anda yaitu dengan berpikir cerdas dan waspada. Penyebaran ransomware seringkali menggunakan taktik social engineering dengan menipu orang untuk men-dowload file ransomware. Selalu waspada dengan link dan attachment pada email yang Anda buka dan apa yang Anda download di website. Pastikan Anda menverfikasi sumber email, link, attachment dan hanya download file dari sumber yang terpercaya.

Dengan mem-backup data Anda secara berkala juga sesuatu hal yang penting. Pastikan Anda tidak menghubungan data  backup dengan komputer yang digunakan karena dapat saja data backup ikut terkena serangan ransomware.

Jika Anda tidak beruntung karena terinfeksi oleh ransomware, pastikan Anda memeriksa program decryptor yang tersedia untuk menyelamatkan data Anda kembali.

Sumber: https://blog.avast.com/avast-releases-four-free-ransomware-decryptors

(Visited 394 times, 1 visits today)

Share artikel ini melalui:
Share on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0Email this to someone

About the Author

Fajar Anggiawan
Fajar Anggiawan

>> malware researcher - IT translator - journalist <<

Latest
 
 

Read more:
Adware: Sabotase Browser Untuk Profit

Salah satu jenis malware yang cukup populer dan tergolong penyebarannya tinggi yaitu adware. Adware atau advertising malware merupakan malware yang...

Close