Wallet Decryptor

22 Mei 2017
Wallet Decryptor
Dekripsi Ransomware .wallet .crysis dan .dharma
Vaksincom pernah menyarankan para korban ransomware yang datanya terenkripsi untuk membackup datanya yang dienkripsi ke dalam media eksternal seperti DVD Rom atau harddisk eksternal. Sambil berdoa semoga kejadian seperti Cryptolocker dan Teslacrypt terulang dimana kunci dekripsi data yang menjadi korban ransomware diberikan secara gratis tanpa perlu membayar uang tebusan. Jika ditanyakan berapa lama waktunya, Vaksincom memperkirakan sekitar 5 tahun (jika beruntung).
Kelihatannya doa para korban Crysis terkabul, karena dalam waktu kurang dari 1 tahun setelah varian Crysis yang bernama Wallet mengganas, kunci dekripsi ransomware Crysis dan turunannya seperti Dharma dan Wallet berhasil dipecahkan oleh Avast dan kabar baiknya adalah semua kunci dekripsi tersebut diberikan secara gratis tanpa perlu membayar uang tebusan sepeserpun.
Tidak tanggung-tanggung, Avast sekaligus membagikan kunci dekripsi 4 ransomware sekaligus. Selain Ransomware Crysis, kunci dekripsi yang berhasil dipecahkan dan dibagikan secara gratis oleh Avast adalah Alcatraz Locker, Globe dan NoobCrypt.
Dalam artikel ini Lab Vaksincom melakukan pengetesan atas kebenaran klaim Avast tersebut dan terbukti memang kunci dekripsi Crysis, Dharma dan Wallet berhasil dipecahkan oleh Avast. Bagi anda yang pernah menjadi korban ransomware turunan Crysis, Alcatraz, Globe dan NoobCrypt dan membutuhkan bantuan dekripsi, silahkan hubungi vendor antivirus anda untuk mendapatkan bantuan. Pelanggan Vaksincom silahkan menghubungi bagian support untuk mendapatkan layanan dekripsi gratis atau email ke info@vaksin.com untuk informasi lebih jauh.
Bagi korban Crysis yang tekun berdoa, silahkan diteruskan kebiasaan baik ini dan juga harap doakan korban ransomware lain supaya kunci dekripsinya berhasil dipecahkan segera.

Dekripsi Crysis (.crysis . wallet .dharma)
Anda tentu masih ingat dengan salah satu ransomware yang akan mengenkripsi file dengan menambahkan ekstensi .Wallet https://www.vaksin.com/0217-wallet-ransomware, ransomware ini lebih di kenal dengan nama Wallet / Crysis Ransomware yang masih ada hubungan dengan Dharma Ransomware (lihat gambar 1).
Gambar 1, Hasil deteksi Crysis oleh G Data
Gambar 1, Hasil deteksi antivirus G Data

Berbeda dengan ransomware yang banyak beredar, Wallet / Crysis Ransomware akan melakukan enkripsi pada semua tipe file termasuk file aplikasi (file dengan ekstensi .exe/.com/.bat/.scr/.cmd) sehingga file aplikasi yang sudah terinstall tidak dapat dijalankan/error.

Format file yang di enkripsi berbeda-beda, tergantung jenis Crysis Ransomware yang menginfeksi contoh nya %nama file%.[alamat email pembuat ransomware].wallet (lihat gambar 2).
Gambar 2, Contoh file yang di enkripsi oleh Wallet / Crysis Ransomwaare
Gambar 2, Contoh file yang di enkripsi oleh Wallet / Crysis Ransomware

Eksploitasi RDP (Remote Desktop Protocol)
Untuk menyebarkan dirinya, Wallet / Crysis Ransomware mempunyai metode yang berbeda dengan kebanyakan ransomware yang menyebar saat ini, Crysis Ransomware akan masuk secara paksa dengan melakukan brute force ke komputer target dengan mengeksploitasi RDP (Remote Desktop Protocol) untuk meremote komputer target dengan memanfaatkan password Windows yang lemah sehingga tidak perlu interaksi dari user untuk menjalankan dirinya, dengan demikian komputer berbasis server yang jarang di akses oleh user/admin dan tidak digunakan untuk browsing internet/berkirim email (seperti Server aplikasi/database/web server/mail server/file server) pun akan menjadi target selama komputer tersebut mempunyai koneksi internet dan service RDP di aktifkan.
Setelah berhasil menguasai sistem komputer target, ia akan mendownload dan menjalankannya secara otomatis dengan terlebih dahulu mematikan program pengaman seperti antivirus/firewall yang sudah terpasang pada komputer target.

Memulihkan File yang terenkripsi Wallet Ransomware/Crysis Ransomware
Bagi anda yang pernah terinfeksi Wallet ransomware, kini ada kabar gembira karena saat ini sudah ada tools yang dapat memulihkan file yang di enkripsi (gratis) tanpa harus membayar uang tebusan.

Salah satu ciri Crysis ransomware ini adalah ia akan mengenkripsi data korbannya dan menggantinya dengan alamat email yang kemungkinan besar merupakan email yang dimonitor pembuat ransomware untuk berkomunikasi dan menerima uang tebusan dalam bentuk bitcoin.
Lab Vaksincom mencoba beberapa format file yang di enkripsi oleh Crysis ransomware yang dapat dipulihkan dengan menggunakan tools Avast_Decryptor_Crysis adalah sebagai berikut:

3048664056@qq.com
age_empires@aol.com
aligi@zakazaka.group
amagnus@india.com
amanda_sofost@india.com
braker@plague.life
breakdown@india.com
crann@india.com
crann@stopper.me
crannbest@foxmail.com
cryalex@india.com
Cryptime@india.com
crysis@indya.life
danger_rush@aol.com
dderek416@gmail.com
dderek@india.com
ded_pool@aol.com
denied@india.com
destroed_total@aol.com
diablo_diablo2@aol.com
donald_dak@aol.com
dropped@india.com
enterprise_lost@aol.com
fedor2@aol.com
fidel_romposo@aol.com
fire.show@aol.com
first_wolf@aol.com
flashprize@india.com
fly_goods@aol.com
gotham_mouse@aol.com
grand_car@aol.com
gutentag@india.com
HelpRobert@gmx.com
ice_snow@aol.com
info@kraken.cc
injury@india.com
interlock@india.com
joker_lucker@aol.com
kuprin@india.com
last_centurion@aol.com
lavandos@dr.com
legionfromheaven@india.com
m.reptile@aol.com
m.subzero@aol.com
makedonskiy@india.com
mandanos@foxmail.com
matacas@foxmail.com
mission_inposible@aol.com
mission_inpossible@aol.com
mk.baraka@aol.com
mk.cyrax@aol.com
mk.goro@aol.com
mk.jax@aol.com
mk.johnny@aol.com
mk.kabal@aol.com
mk.kitana@aol.com
mk.liukang@aol.com
mk.noobsaibot@aol.com
mk.raiden@aol.com
mk.rain@aol.com
mk.scorpion@aol.com
mk.sektor@aol.com
mk.sharik@aol.com
mk.smoke@aol.com
mk.sonyablade@aol.com
mk.stryker@aol.com
mkgoro@india.com
mkjohnny@india.com
MKKitana@india.com
Mkliukang@india.com
mknoobsaibot@india.com
mkscorpion@india.com
MKSmoke@india.com
mksubzero@india.com
moneymaker2@india.com
nicecrypt@india.com
nomascus@india.com
nort_dog@aol.com
nort_folk@aol.com
obamausa7@aol.com
p_pant@aol.com
reserve-mk.kabal@india.com
sammer_winter@aol.com
shamudin@india.com
sman@india.com
smartsupport@india.com
spacelocker@post.com
space_rangers@aol.com
ssama@india.com
stopper@india.com
supermagnet@india.com
support_files@india.com
tanksfast@aol.com
terrabyte8@india.com
total_zero@aol.com
versus@india.com
walmanager@qq.com
warlokold@aol.com
war_lost@aol.com
webmafia@asia.com
webmafia@india.com
xmen_xmen@aol.com
zaloha@india.com

Cara memulihkan file Wallet Ransomware menggunakan Avast_decryptor_Crysis
  • Pastikan komputer sudah tidak terinfeksi Wallet ransomware. Lindungi komputer anda dengan antivirus yang terupdate seperti G Data Antivirus.
  • Klik 2x file Avast_decryptor_Crysis yang sudah anda download (lihat tautan download di akhir artikel).
  • Kemudian akan muncul layar utama Avast_Decrytor Tools for ScySis v 1.0.106.0 (lihat gambar 3)
Gambar 3, Layar utama Avast Decryptor Tools
Gambar 3, Layar utama Avast Decryptor Tools
  • Untuk menghapus daftar Drive yang akan di periksa, anda cukup tekan tombol DEL (Delete) pada keyboard.
  • Klik [Add Local Drives] untuk menambahkan Drive.
  • Kemudian klik tombol [Next] untuk melanjutkan proses pemulihan. Dalam contoh ini Lab Vaksincom mengumpulkan data yang dienkripsi ke drive D dengan lokasi “D:\Data Office” (lihat gambar 4)
Gambar 4, Daftar Drive/folder yang akan di periksa
Gambar 4, Daftar Drive/folder yang akan di periksa

  • Pilih opsi [Bacukp encrypted files] untuk backup file sebelum proses pemulihan di lakukan untuk berjaga-jaga jika terjadi kegagalan dalam dekripsi, kemudkan klik tombol [Decrypt] untuk mulai melakukan proses dekripsi (lihat gambar 5).
Gambar 5, Backup encryted files
Gambar 5, Backup encryted files

  • Tunggu beberapa saat sampai proses pemulihan selesai di lakukan (lihat gambar 6)
Gambar 6, Proses pemulihan file telah selesai di lakukan
Gambar 6, Proses pemulihan file telah selesai dilakukan

Berikut file yang berhasil didekrip menggunakan tools Avast Decryptor Crysis (gambar 7)
Gambar 7, File yang berhasil di pulihkan
Gambar 7, File korban ransomware yang berhasil didekripsi

Avast Decryptor Crysis dapat diunduh dari :
Salam,

Adang Juhar Taufik
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: