Merdeka dari Cryptolocker

20 Agustus 2014
Merdeka dari Cryptolocker
Dekripsi data korban cryptolocker
Apa yang terjadi pada data komputer yang dienkrip oleh cryptolocker ? Jika diumpamakan manusia, cryptolocker bisa diibaratkan Ebola yang mengganas dengan tingkat kematian mencapai 90 % dan sampai saat ini tidak ada obatnya. Dan seperti penderita Ebola yang harus dihindari untuk mencegah penularan, komputer yang terinfeksi cryptolocker juga harus dijauhi (dalam jaringan dan bukan fisik secara harfiah) kalau komputer dan data anda tidak ingin menjadi korban enkripsi 2048 bit yang secara teknis membutuhkan waktu milyaran tahun untuk di pecahkan enkripsinya tanpa kunci yang tepat. Jika anda tidak percaya atas kekuatan enkripsi RSA 2048 yang digunakan cryptolocker, silahkan lihat video kecil yang diberikan oleh Digicert di http://youtu.be/u2v5Dd9wJkY. Menurut hitungan matematis, membutuhkan waktu milyaran tahun untuk memecahkan enkripsi RSA 2048, tentunya sudah kiamat bagi korban cryptolocker di seluruh dunia yang mencapai 500.000 komputer yang tidak ingin membayar ransom (uang tebusan) untuk dekripsi kembali datanya. Asal tahu saja, meskipun anda membayar ransom sekitar US $ 300 melalui bitcoin kepada pembuat cryptolocker, tidak ada jaminan bahwa data anda akan kembali lagi. Namun, ada kabar baik bagi anda korban cryptolocker yang mengalami enkripsi data karena masih ada harapan data anda bisa kembali tanpa anda harus membayar ransom. Apakah karena RSA membuka celah untuk memecahkan enkripsi 2048 bit seperti yang pernah dilakukan oleh NSA ? Rasanya tidak mungkin karena jika enkripsi RSA bisa dipecahkan, bahaya yang mengancam lebih besar lagi karena standar enkripsi RSA sudah digunakan secara meluas oleh organisasi besar di seluruh dunia seperti Google, Yahoo, e-commerce dan perbankan. Bisa dibayangkan kekacauan yang terjadi jika enkripsi ini berhasil dipecahkan dan memang sebaiknya tidak bisa dipecahkan. Lalu, bagaimana ceritanya data yang di enkripsi oleh cryptolocker bisa di dekripsi ? Jawabannya adalah Operation Tovar.


Ancaman terhadap data dan pengamanannya

Salah satu hal yang paling ditakuti pengguna komputer yang memanfaatkan komputer secara optimal adalah kehilangan data. Diantaranya adalah salah format harddisk atau malah ada malware yang nakal iseng memformat harddisk atau menghapus data penting. Asal tahu saja, kalau harddisk yang terformat tersebut masih belum diisi data lain, kemungkinan mengembalikan data yang terkandung pada harddisk tersebut cukup tinggi, karena proses format sebenarnya tidak sepenuhnya menghilangkan data pada harddisk yang bersangkutan dan dengan program data recovery dan metode yang benar data masih bisa dikembalikan. Jadi meskipun tidak terlihat secara fisik, sebenarnya data pada komputer yang diformat masih tersimpan di harddisk tersebut dan bisa dikembalikan. Hal yang sama juga terjadi pada smartphone anda. Sekalipun SD Card dan memori smartphone sudah anda format dan lakukan factory reset, proses ini hanya membuka proteksi untuk menyimpan data pada ruang yang tersedia yang sebenarnya masih diisi oleh data lama dan data lama dianggap tidak ada. Dan setelah ruang yang diberi label kosong itu diisi dengan data baru, maka data lama secara teknis akan tertimpa oleh data baru. Jadi jika anda menjual smartphone anda, jangan merasa aman jika anda sudah melakukan factory reset, apalagi memory cardnya disertakan sekalipun sudah anda format. Karena di tangan orang yang mengerti data recovery, SD Card dan smarpthone yang diformat tersebut masih bisa diakses kembali. Satu-satunya cara yang efektif untuk melindungi data pada smartphone adalah melakukan enkripsi pada semua smartphone anda. Jadi sekalipun smartphone anda dicuri, kerugian terbesar anda adalah kehilangan smartphone secara fisik dan data anda aman tidak bisa diskes pencuri (dengan catatan anda melakukan enkripsi atas seluruh data baik pada memori internal smartphone dan memori eksternal seperti SD Card). Di tangan orang yang ahli sekalipun (kecuali NSA :p) enkripsi yang dilakukan pada smartphone sangat baik dan hampir mustahil untuk dipecahkan tanpa mendapatkan private key untuk dekripsi. Kecuali pencurinya cukup nekad dan mencoba memecahkan enkripsi dan bersabar menunggu milyaran tahun. Namun, metode yang tadinya digunakan untuk melindungi pengguna komputer dari orang jahat berbalik menjadi senjata mematikan di tangan kriminal. Dan hal ini terwujud pada malware yang bernama cryptolocker, dimana seluruh data penting komputer korbannya termasuk di jaringan yang memberikan akses Full Sharing seperti file MS Office, Open Office, Microsoft Access Database, .pst (Microsoft Outlook), .dwg (autocad), Adobe Photoshop, Adobe Acrobat, Adobe Illustrator, .cdr (Coreldraw), .jpg/.jpe/.img (file gambar) dienkrip oleh malware. Enkripsi data bukan hanya dilakukan pada harddisk komputer yang bersangkutan, tetapi juga pada folder dan data di jaringan yang memberikan hak Full Sharing dan bisa diakses cryptolocker. Adapun teknologi enkripsi yang digunakan tidak tanggung-tanggung, tingkat enkripsinya adalah enkripsi RSA 2048 yang digunakan oleh raksasa internet seperti Yahoo, Google, Facebook, industri keuangan dan e-commerce untuk melindungi lalu lintas data dari transaksi keuangan dan transaksi penting lainnya. Tujuan pembuat malware ini adalah mendapatkan keuntungan finansial secara langsung dimana korbannya akan diminta untuk membayar uang tebusan guna mendapatkan kunci dekripsi (Private Key) yang tidak ada duanya dan hanya dimiliki oleh pembuat malware yang memiliki akses dan kontrol pada server yang digunakan untuk melakukan enkripsi. Namun, dalam banyak kasus, sekalipun uang tebusan (ransom) sudah dibayar, tidak ada jaminan bahwa dekripsi atas data yang dienkripsi akan berhasil. Dan kalau hal ini terjadi, ibaratnya sudah jatuh, tertimpa tangga, masuk selokan dan selokannya bau lagi.

Para penggiat sekuriti juga sudah angkat tangan jika diminta mendekripsi data tersebut. Sebenarnya, RSA yang menjadi standar enkripsi secara teori mungkin saja bisa memberikan pertolongan dengan memberikan akses dekripsi, namun hal ini menjadi buah simalakama karena jika akses dekripsi ini diberikan oleh RSA, secara tidak langsung semua enkripsi yang menggunakan standar RSA menjadi rentan terbuka dan kerugiannya akan jauh lebih besar. Hal ini kemungkinan bisa menyebabkan keguncangan pada pilar e-commerce dan pengamanan akses (https) internet yang semuanya mengandalkan pada enkripsi RSA. Maka terpaksalah korban cryptolocker ini terpaksa dibiarkan merana demi kepentingan yang lebih besar. Semoga saja para petinggi partai politik juga belajar dari RSA :p.


Apakah ini merupakan akhir cerita ? Dan para korban cryptolocker yang tidak melakukan backup harus menerima kenyataan datanya bernasib seperti Robin Williams (bukan Robbie Williams atau Robin van Persie) yang meninggalkan dunia fana ? Vaksincom memberikan kabar baik bagi anda bahwa harapan selalu ada ….. hanya bagi anda yang bersabar dan masih menyimpan data anda yang dienkripsi oleh cryptolocker. Baru-baru ini kolaborasi dua perusahaan sekuriti dari Belanda dan Amerika Serikat berhasil mengakses server database pembuat cryptolocker dan mendapatkan koleksi kunci privat (private key) yang bisa digunakan untuk dekripsi data yang diekrip oleh cryptolocker. Jika anda pernah menjadi korban cryptolocker dan semua data yang dienkripsi masih anda simpan, sebenarnya data anda tidak hilang, tetapi ibaratnya Angelina Jolie yang hanya bisa anda tonton di bioskop dan tidak bisa diajak kenalan, data anda bisa lihat fisik filenya tetapi tidak bisa dipakai / dibuka karena dienkripsi. Namun kali ini ada harapan cukup besar untuk mendapatkan kunci dekripsi data anda, dengan catatan bahwa data anda dienkripsi oleh cryptolocker dan bukan jenis malware lain turunannya seperti cryptodefense atau cryptoorbit (yang sebenarnya tidak melakukan enkripsi data dan hanya mengganti sebagian header data supaya data menjadi korup) karena teknik dan server yang digunakan berbeda. Vaksincom sedang melakukan pengetesan atas hal ini dan akan memberikan bantuan dekripsi data yang dienkripsi cryptolocker dan akan mengeluarkan informasi lebih detail. Jika anda pelanggan Vaksincom, silahkan hubungi info@vaksin.com untuk mendapatkan support langsung oleh Vaksinis untuk mengembalikan data anda yang terenkripsi.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: