Tesladecrypt

19 Februari 2016
Tesladecrypt: Min X Min = Plus
Kelemahan pada Teslacrypt membuka celah dekripsi
Kalau selama ini celah keamanan selalu menjadi momok yang menakutkan pada piranti lunak dan mayoritas administrator sistem dan penggiat sekuriti selalu berusaha agar celah keamanan segera dibasmi. Namun pada kasus celah keamanan yang satu ini, baik para penggiat sekuriti dan administrator malah bersyukur atas adanya celah keamanan dan beramai-ramai melakukan eksploitasi atas celah keamanan tersebut.
Celah keamanan tersebut tidak lain dan tidak bukan adalah celah keamanan yang ditemukan pada Teslacrypt, salah satu ransomware yang memakan korban sangat banyak dengan mengenkripsi data komputer korbannya dan meminta uang tebusan dalam bentuk bitcoin.
Bila anda pernah menjadi korban Teslacrypt dan masih tetap menyimpan data yang di enkripsi oleh Teslacrypt, ada kabar gembira dimana untuk varian tertentu dari Teslacrypt ternyata memiliki celah keamanan dan jalan menuju dekripsi file anda yang diproteksi oleh pembuat Teslacrypt ternyata memiliki kelemahan dan bisa dieksploitasi untuk mendapatkan kunci dekripsi yang dibutuhkan. Untuk informasi detailnya silahkan ikuti artikel di bawah ini.
Celah keamanan atau vulnerability adalah kelemahan pemrograman pada piranti lunak yang mengakibatkan piranti lunak tersebut memiliki kelemahan. Kelemahan tersebut sangat bervariasi, dan bisa berdampak ringan seperti kegagalan proses, program menjadi pelan atau tampilannya kacau sampai yang berat seperti hang atau membuka akses pada pihak lain untuk menguasai sistem komputer anda. Jika celah keamanan terjadi pada piranti lunak untuk tujuan produktif tentunya harus segera diperbaiki supaya tidak dieksploitasi dan dalam banyak kasus menyebabkan sistem dikuasai malware. 
Namun rupanya tidak ada yang kekal di dunia ini, celah keamanan yang selama ini menjadi momok yang menakutkan bagi para pengguna komputer kali ini justru menjadi juru selamat para pengguna komputer. Khususnya korban ransomware beberapa varian Teslacrypt. Bagaimana ceritanya ? Seperti hukum matematika, celah keamanan memiliki sifat negatif (-) dan jika terjadi pada aplikasi yang berguna / produktif yang bersifat positif (+) maka hasilnya celah keamanan (–) X (+) software produktif = (-). Nah, jika celah keamanan terjadi pada malware yang bersifat negatif (-) maka hasilnya adalah celah keamanan (-) X malware (-) sama dengan (+) positif.

Celah keamanan pada Teslacrypt
Celah keamanan Teslacrypt bukan terletak pada algoritma enkripsinya, melainkan pada kelemahan penyimpanan kunci enkripsi yang ternyata disimpan di komputer korbannya dan tidak diamankan dengan sempurna. Ketika ia mengenkripsi file dengan enkripsi AES, suatu teknik enkripsi yang menggunakan kunci yang sama baik untuk proses enkripsi maupun dekripsi file sehingga jika kita bisa mendapatkan kunci enkripsi, maka kunci tersebut bisa digunakan untuk dekripsi file.
Setiap kali Teslacrypt berjalan, ia akan membuat pelindung kunci enkripsi baru yang akan disimpan pada file-file yang diacaknya pada sesi yang bersangkutan. Artinya dalam satu komputer yang menjadi korban Teslacrypt bisa saja terenkripsi beberapa kali dengan beberapa pelindung kunci enkripsi yang berbeda.
Karena banyaknya korban Teslacrypt ini dan masing-masing memiliki pelindung kunci enkripsi yang unik, tentunya pembuat Teslacrypt perlu menyimpan kunci enkripsi yang sesuai dengan file yang dienkripsi, sehingga ketika korbannya setuju melakukan pembayaran uang tebusan ia sudah siap melakukan proses dekripsi. Cara yang ditempuh Teslacrypt adalah menyimpan kunci enkripsi (dan dekripsi) pada file yang dienkripsi dan tentunya kunci enkripsi ini harus diamankan dari jangkauan korbannya, karena kalau tidak tentunya tidak akan ada yang mau membayar tebusan karena tinggal mengambil kunci dekripsi yang ditanamkan pada file yang dienkripsi. Untuk melindungi kunci enkripsi ini, pembuat Teslacrypt membuat algoritma baru untuk mengacak kunci enkripsi tersebut lalu setelah itu baru ditanamkan pada setiap file yang dienkripsi.
Celakanya (bagi pembuat Teslacrypt) dan untungnya (bagi korban Teslacrypt) hal ini bisa diketahui oleh komunitas sekuriti dan algoritma untuk menyembunyikan file enkripsi ini kurang kuat dan bisa ditembus menggunakan kekuatan prosesor komputer yang ada saat ini. 
Dalam prakteknya, kunci yang telah dieknripsi tersebut berbentuk deretan angka yang sangat panjang dan harus difaktorisasi, lalu dengan program khusus deretan angka ini dapat difaktorisasi guna mendapatkan angka prima yang dicari. Sekali angka prima tersebut berhasil ditemukan, sudah ada program khusus yang telah dipersiapkan untuk membuat kunci dekripsi.

Sabar Pangkal Kaya
Sabar pangkal kaya, itu kata pepatah lama dan bisa diperluas menjadi sabar pangkal bahagia. Jika anda menjadi korban ransomware dan anda tidak bersedia membayar uang tebusan. Tentunya anda sudah siap hidup tanpa data yang telah dienkripsi tersebut dan menganggap data tersebut telah hilang / musnah. Namun sebenarnya data tersebut masih tetap ada di komputer anda, namun tidak bisa anda akses karena telah diacak sedemikian rupa dan hanya ada kunci khusus yang bisa mengembalikan data yang telah diacak tersebut. Tidak ada ruginya menyimpan data yang telah dienkripsi tersebut pada media khusus seperti DVD dan kita berdoa suatu hari teknik enkripsi yang digunakan untuk mengenkripsi data anda bisa ditembus oleh kekuatan komputer dimasa depan atau jika metode enkripsi yang digunakan hari ini dalam 5 atau 10 tahun lagi sudah ditinggalkan dan metode untuk menembus enkripsi hari ini sudah tersedia dimasa depan.
Jika dewi fortuna sedang menyapa anda, tidak perlu menunggu bertahun-tahun, kasus celah keamanan pada Teslacrypt ini memberikan kemungkinan pada korban Teslacrypt untuk mengembalikan filenya tanpa perlu membayar uang tebusan sekarang juga. Adapun varian Teslacrypt yang telah bisa di dekripsi adalah korban Teslacrypt yang filenya dienkripsi menjadi ekstensi :

.ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, and .VVV

Perlu menjadi catatan bahwa tidak semua varian Teslacrypt memiliki celah keamanan ini, karena segera setelah hal ini diketahui oleh pembuat malware, ia segera menutup kelemahan ini sehingga varian Teslacrypt berikutnya tidak memiliki kelemahan ini.
Adapun varian Teslacrypt terbaru dimana file hasil enkripsi berekstensi .TTT, .XXX dan .MICRO sudah tidak memiliki kelemahan di atas.

Teslacrack
Adalah seorang jago komputer dengan nama Googulator yang membuat program dalam bahasa Python dan menamakannya Teslacrack dan berhasil menolong banyak korban Teslacrypt. Disini terlihat semangat gotong royong para netter dimana untuk memecahkan enkripsi 512 bit ini memang memerlukan tenaga komputer yang cukup besar dimana tidak semua orang memiliki komputer yang dibutuhkan. Namun segera komunitas bergerak dan banyak yang merelakan tenaga komputernya digunakan untuk memecahkan enkripsi ini. Metode Googulator cukup rumit karena membutuhkan akses dari command prompt dan penggunanya harus menginstal Python karena skrip ini dibangun menggunakan Python dan tidak mudah dimengerti oleh orang awam.
Lalu muncul solusi dari BloodDolly yang menciptakan TeslaDecoder dan melakukan banyak otomasi dalam proses dekripsi dan mampu memecahkan dekripsi dari semua varian Teslacrypt (pada saat tools ini diluncurkan). Cerdiknya lagi, tools ini mencari kunci privat master, ibarat master key, ia akan bisa mendekripsi semua file yang telah dienkripsi Teslacrypt, meskipun telah direstart berulang-ulang dan menciptakan kunci enkripsi yang berbeda-beda.
Vaksincom berhasil melakukan dekripsi file korban Teslacript dengan TeslaDecoder dan hasilnya bisa dilihat pada gambar 1 dan 2 di bawah ini.
Gambar 1, File Surat Peminjaman Ruangan.vvv yang dienkripsi Teslacrypt
Gambar 2, File setelah di dekripsi menjadi .doc dan bisa terbaca

Karena banyaknya jenis ransomware yang beredar dan membingungkan pengguna komputer awam yang menjadi korban ransomware. Langkah pertama yang harus dilakukan adalah mengidentifikasi apa jenis ransomware yang menginfeksi sistem dan mengenkripsi data anda. Hal ini menjadi kesulitan tersendiri karena varian ransomware sudah melampaui ratusan dan Vaksincom tidak terkejut jika variannya mencapai ribuan karena adanya keuntungan besar menjalankan ransomware.
Untuk membantu korban ransomware, Vaksincom akan mengeluarkan program Ransomdetect yang akan berfungsi mendeteksi jenis ransomware yang mengenkripsi data anda.

Jika anda menjadi korban ransomware, hubungi segera bagian IT perusahaan anda untuk memminta bantuan vendor sekuriti anda jika anda menjadi korban ransomware dan membutuhkan bantuan. Backup selalu data penting anda dengan metode yang benar guna menghindari resiko kehilangan / kerusakan data.
Gambar 3, Ransom Detect by Vaksincom untuk mendeteksi jenis Ransomware yang mengenkripsi data atau menyerang komputer anda
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: