Locker 2

19 Juni 2015
Locker 2
Barbie Ga Pusing Lagi
Bila kepala anda pusing karena ulah ransomware Locker sampai-sampai lagu Pusing Pala Barbie terngiang  terus di benak anda, ada kabar gembira yang sudah pasti membuat anda berganti lagu Barbie Ga Pusing Lagi. Mengapa ?
Locker, yang merupakan salah satu rensomware yang memakan korban cukup banyak, sekitar 62.703 korban hanya dalam waktu 5 hari beroperasi di seluruh dunia yang diaktifkan 25 Mei 2015, pada tanggal 30 Mei 2015, pembuat Locker membuat kejutan dengan posting di Pastebin dengan menguploadkan semua kunci dekripsi semua komputer yang pernah menjadi korban Locker ke mega.co.nz (lihat gambar 1) di ikuti dengan permohonan maaf. Permohonan maaf itu juga menyatakan bahwa pada tanggal 2 Juni 2015, jika korban Locker masih terinfeksi, Locker akan secara otomatis melakukan dekripsi atas SEMUA file secara gratis.
20150619I_ransomwarelocker201
Gambar 1, Permohonan maaf dari Locker di Pastebin

Jika anda merupakan korban dari Locker, maka anda bisa mengunduh private key anda dari
https://mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4

Dan informasi tambahan yang diberikan adalah detail enkripsi yang digunakan oleh Locker lengkap dengan struktur file yang terenkripsi metode yang bisa di gunakan untuk dekripsi file.

Bagi orang awam yang tidak berkecimpung di dunia enkripsi, dengan informasi yang diberikan dari Pastebin pun masih tetap bingung bagaimana melakukan dekripsi bisa-bisa nyanyi Pala Barbie Pusing Lagi. Karena itu ada seorang developer bernama Nathan Scott dari Easy Sync Backup yang berbaik hati membuatkan tools dekripsi berdasarkan private key yang telah diberikan oleh pembuat Locker.

Namun terlebih dahulu untuk para korban Ransomware, Vaksincom menginformasikan bahwa dekriptor ini HANYA bisa mendekripsi file yang di enkrip oleh Ransomware Locker dan tidak bisa mendekrip ransomware lain seperti CTBLocker, Alphacrypt, Cryptowall atau PCLock. Bagaimana memastikan ransomware yang mengenkripsi data anda adalah Locker :
  • File yang dienkripsi tidak mengalami perubahan ekstensi. Sebagai catatan Teslacrypt mengubah ekstensi menjadi .ecc dan .exx sedangkan CTB Locker mengubah ekstensi file yang di enkrip dengan 7 karakter acak.
  • Pada direktori C:\ProgramData\rkcl\ terdapat file dengan nama: data.aa0, data.aa1, data.aa6, data.aa7, data.aa8
  • Anda mendapatkan peringatan seperti pada gambar 2 di bawah ini.
20150619I_ransomwarelocker202
Gambar 2, Permintaan tebusan dari Locker

Jika anda sudah memastikan bahwa anda memiliki data yang di enkrip oleh Locker, berikut ini adalah langkah untuk dekripsi :

Persiapkan semua file anda yang telah menjadi korban enkripsi Locker dan masukkan dalam satu direktori khusus.
Unduh program LockerUnlocker https://easysyncbackup.com/Downloads/LockerUnlocker.exe dan jalankan dengan klik ganda. Anda akan mendapatkan menu seperti gambar 3 di bawah ini.
20150619I_ransomwarelocker203
Gambar 3, Program LockerUnlocker untuk dekrip data korban Locker

  • Anda memerlukan Private Key unik untuk dekripsi data anda. Sebagai catatan, Private Key ini adalah unik untuk setiap korban Locker. Jadi Private Key korban Locker untuk komputer A berbeda dengan Private Key untuk komputer B. Private Key Locker di identifikasi dengan alamat Bitcoin unik yang diberikan ketika anda diminta untuk membayar ransom. Jika anda tidak memiliki alamat Bitcoin tersebut, anda bisa mencoba brute BTC dimana program ini akan mencarikan alamat Bitcoin unik anda berdasarkan data anda yang telah dienkripsi. Tunjuk salah satu file yang telah di enkripsi dalam direktori yang telah anda persiapkan tadi (sebaiknya yang ukurannya tidak terlalu besar) dan klik [Brute BTC] dan anda akan mendapatkan kotak dialog “Locker BruteForce BTC” (lihat gambar 4).
20150619I_ransomwarelocker204
Gambar 4, Klik [Brute BTC] untuk memunculkan kotak dialog “Locker BruteForce BTC”

  • Klik kotak […] dan arahkan ke salah satu file yang telah dipersiapkan tadi dan klik tombol [Go] (lihat gambar 5)
20150619I_ransomwarelocker205
Gambar 5, Locker BruteForce BTC in action

  • Program Locker BruteForce BTC akan mencari alamat bitcoin yang cocok berdasarkan file yang anda berikan. Jika memang file yang anda berikan benar merupakan korban locker dan termasuk dalam 62.703 database korban Locker maka kunci Bitcoin akan ditemukan dan klik tombol [Ok]. (lihat gambar 6)
20150619I_ransomwarelocker206
Gambar 6, Locker BruteForce BTC berhasil menemukan Bitcoin Address korban Locker

  • Setelah Address Bitcoin ditemukan secara otoamtis alamat itu akan dimasukkan ke kotak pada kolom “Key Generation” di kolom kanan (lihat gambar 7) lalu klik tombol [Generate] untuk mengaktifkan Private Key dari database yang telah dipersiapkan oleh Locker Unlocker dan klik [Next]
20150619I_ransomwarelocker207
Gambar 7, Alamat Bitcoin akan otomatis masuk ke kotak Key Generation untuk mengaktifkan private key

  • Anda akan dibawa pada menu “Decryption Method”. Pada kolom “Select Method” seperti pada gambar 8. Pilih “Directory Decription” dan klik tombol [Next]
20150619I_ransomwarelocker208
Gambar 8, Pilih “Directory Decryption” pada kolom “Select Method”

  • Anda akan membuka menu “File Decryption” (lihat gambar 9). Klik tombol […] dan pilih direktori tempat anda menyimpan semua file yang dienkrip oleh Locker yang telah anda persiapkan pada point 1 di atas.
20150619I_ransomwarelocker209
Gambar 9, Pilih direktori lokasi file yang dienkrip

  • Jika anda ingin mendapatkan log proses dekripsi klik untuk mengaktifkan centang pada kotak kecil di depan “Create Log on Desktop” lalu llik tombol [Start] dan proses dekripsi akan dimulai (lihat gambar 10)
20150619I_ransomwarelocker210
Gambar 10, Klik Start untuk memulai proses dekripsi

  • Biarkan komputer bekerja khususnya jika file yang di dekripsi berjumlah cukup banyak. Setelah selesai anda akan mendapatkan pesan seperti gambar 11 di bawah ini.
20150619I_ransomwarelocker211
Gambar 11, Proses dekripsi selesai dan file anda bisa kembali anda gunakan

Kami memohon maaf jika saat ini solusi untuk Ransomware hanya tersedia untuk korban Cryptolocker dan korban Locker dan belum tersedia untuk ransomware lainnya. Vaksincom akan menginformasikan jika solusi dekripsi untuk ransomware lain tersedia.
Guna mencegah data anda disandera oleh ransomware yang secara de facto banyak mengalahkan perlindungan antivirus terupdate sekalipun, Vaksincom menyarankan anda untuk menggunakan program antivirus yang mampu melindungi data anda dengan baik seperti G Data Total Protection yang mampu menjamin keamanan data penting anda dari ancaman ransomware baru sekalipun tidak terdeteksi antivirus. G Data Total Protection kompatibel dengan layanan FTP dan Cloud populer seperti Dropbox dan Google Drive. (lihat gambar 12)
20150619I_ransomwarelocker212
Gambar 12, G Data Total Protection memiliki fitur Backup Cloud dan FTP.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: