Identifikasi Ransomware

23 Mei 2016
Identifikasi ransomware
Knowing is half the battle
Mengetahui adalah setengah dari pertarungan, ungkapan populer GI Joe cukup relevan bagi para korban ransomware hari ini. Dengan banyaknya ransomware yang beredar hari ini yang mencapai lebih dari 89 varian, menjadi kepusingan tersendiri juga bagi korban ransomware untuk mencari pertolongan karena kesulitan identifikasi jenis ransomware yang menginfeksinya. Biasanya korban ransomware yang menghubungi Vaksincom akan mengirimkan email bahwa ia terinfeksi ransomware, datanya terenkripsi dan meminta bantuan apakah datanya bisa dikembalikan / di dekrip. Lalu Vaksincom akan meminta contoh file ransomware atau contoh pesan ransom (permintaan uang tebusan) guna mengetahui apa jenis ransomware yang menginfeksi. Jika file yang dikirimkan unik seperti .mp3, .micro, .xxx atau .locky yang merupakan hasil ransowmare Teslacrypt dan Locky, tentunya mudah mengidentifikasi jenis ransomware yang menginfeksi karena ekstensi tersebut unik dan hanya dimiliki oleh Teslacrypt dan Locky. Namun jika file yang dikirimkan tidak mengalami perubahan ekstensi, tentunya sulit menebak jenis ransomware yang beraksi karena banyak ransomware yang mendekripsi file dan tidak mengubah ekstensi.
Sebagai gambaran, jika file anda dienkripsi oleh Teslacrypt 3.0 dan 4.0 anda bisa bergembira karena pembuat Teslacrypt memutuskan menghentikan kegiatannya dan membagikan kunci dekripsi secara gratis. (lihat gambar 1)
Gambar 1, Pembuat Teslacrypt membagikan masterkey untuk dekripsi data korban Teslacrypt 3.0 dan 4.0

Tools Dekripsi Teslacrypt
Setelah pembuat Teslacrypt membagikan kunci dekripsi (private key) secara gratis, korban Teslacrypt bisa mendekripsi kembali filenya dengan kunci dekripsi yang dibagikan tersebut. Sebenarnya kunci dekripsi (private key) untuk setiap korban Teslacrypt berbeda / unik dimana satu kunci dekripsi yang sama tidak bisa digunakan untuk semua korban Teslacrypt. Hal ini juga berlaku untuk ransomware lainnya. Sebagai contoh, untuk korban ransowmare Cryptolocker yang bisa di dekripsi secara gratis harus mengirimkan contoh file yang terenkripsi guna mendapatkan kunci dekripsi untuk komputer yang bersangkutan. Untuk setiap komputer kunci dekripsinya berbeda dan kunci dekripsi untuk komputer yang satu tidak bisa digunakan untuk dekripsi data dari komputer lainnya.
Tetapi, dalam kasus Teslacrypt 3.0 dan 4.0 ternyata pembuat malware ini membuat satu “master key” dimana ada satu kunci master yang bisa digunakan untuk semua korban Teslacrypt 3.0 dan 4.0. Jadi kunci dekripsi korban Teslacrypt 3.0 dan 4.0 di seluruh dunia hanya perlu menggunakan kunci dekripsi seperti pada gambar 1 untuk mendekripsi datanya, yaitu :

440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE

Lalu, setelah mengetahui kunci dekripsi, bagaimana caranya mengembalikan data yang sudah terenkripsi ? Pada prinsipnya anda membutuhkan satu program untuk melakukan dekripsi yang akan menggunakan kunci dekripsi yang sudah disediakan untuk mengembalikan file anda. Jadi, tanpa kunci dekripsi Master key yang dibagikan oleh pembuat Teslacrypt pada gambar 1 di atas, program dekripsi tidak akan bisa mendekrip file yang terenkripsi. Untuk membuat program dekripsi membutuhkan kemampuan programming untuk mengambil kunci yang disediakan dan mendekripsi file berdasarkan kunci yang disediakan tersebut.. Banyak programmer di dunia yang mampu melakukan hal ini. Namun, tanpa kunci dekripsi yang dibagikan oleh pembuat Teslacrypt di atas, program dekripsi yang dibuat tidak bisa mendekrip file yang terenkripsi.
Salah satu tools yang dibuat untuk dekripsi file korban Teslacrypt adalah Tesladecoder yang dibuat oleh BloodDolly. Untuk langkah dekripsi dapat dilihat di artikel Vaksincom http://www.vaksin.com/0516-tesladecrypt
Knowing is half the battle
Namun bagi orang awam yang menjadi korban ransomware, jangankan mendekripsi file, mengidentifikasi ransowmare apa yang menyerang komputernya saja terkadang sudah membuat pusing. Hal ini tidak mengherankan karena saat ini tercatat lebih dari 80-an ransomware yang beredar.
Adapun beberapa ransomware yang beredar tersebut adalah :

777, 7ev3n, 8lock8, Alpha, AutoLocky, AxCrypter, BankAccountSummary, BitCryptor, BitMessage, Blocatto, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, Chimera, CoinVault, Coverton, Crypren, Crypt0L0cker, CryptoDefense, CryptoFortress, CryptoHasYou, CryptoHitman, CryptoJoker, CryptoMix, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CrySiS, CTB-Locker, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, ECLR Ransomware, Encryptor RaaS, Enigma, GhostCrypt, Hi Buddy!, HydraCrypt, Jigsaw, JobCrypter, KeRanger, KEYHolder, KimcilWare, Kriptovo, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, Mischa, Mobef, NanoLocker, Nemucod, Nemucod-7z, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Protected Ransomware, Radamant, Radamant v2.1, RemindMe, Rokku, Samas, Sanction, Shade, Shujin, SNSLocker, Sport, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TrueCrypter, UmbreCrypt, VaultCrypt, WonderCrypter, Xorist, Xort, Zyklon

Jika anda terinfeksi ransomware dan ingin mengetahui jenis ransomware yang menginfeksi komputer anda, ada cara mudah untuk mengidentifikasi. Anda hanya perlu mengupload contoh file ransom (permintaan uang tebusan) atau contoh file yang terenkripsi dan informasi jenis ransomware tersebut akan dapat anda ketahui. (lihat gambar 2, 3 dan 4).
Gambar 2, Layanan identifikasi ransomware yang disediakan oleh Malware Hunter Team
Gambar 3, Contoh identifikasi Ransomnote yang terdeteksi sebagai Cryptowall 3.0 dan belum dapat di dekripsi
Gambar 4, Contoh file dengan ekstensi .mp3 yang terenkripsi di deteksi sebagai korban Teslacrypt 3.0 dan 4.0 yang saat ini dapat di dekrip

Layanan ini diberikan oleh malwarehunter team dan dapat diakses dari : https://id-ransomware.malwarehunterteam.com/
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: