Alat Dekripsi Ransomware WannaCry Telah Dirilis; Membuka File Tanpa Membayar Tebusan

Alat Dekripsi Ransomware WannaCry Telah Dirilis; Membuka File Tanpa Membayar Tebusan

Alat Dekripsi Ransomware WannaCry Telah Dirilis; Membuka File Tanpa Membayar Tebusan

BlogUnik8899 – Jika PC Anda telah terinfeksi oleh WannaCry – uang tebusan yang mendatangkan malapetaka di seluruh dunia pada hari Jumat yang lalu – Anda mungkin beruntung mengembalikan file terkunci tanpa membayar uang tebusan sebesar $ 300 kepada penjahat cyber.

Adrien Guinet, seorang peneliti keamanan Prancis dari Quarkslab, telah menemukan cara untuk mengambil kunci enkripsi rahasia yang digunakan oleh ransomware WannaCry secara gratis, yang bekerja pada sistem operasi Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008.

Skema enkripsi WannaCry bekerja dengan menghasilkan sepasang kunci pada komputer korban yang mengandalkan bilangan prima, kunci “publik” dan kunci “pribadi” untuk mengenkripsi dan mendekripsi file sistem masing-masing.

Untuk mencegah korban mengakses kunci privat dan mendekripsi file yang terkunci sendiri, WannaCry menghapus kunci dari sistem, sehingga tidak ada pilihan bagi korban untuk mengambil kunci dekripsi kecuali membayar uang tebusan kepada penyerang.

Tapi inilah kickernya: WannaCry “tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait,” kata Guinet.

Berdasarkan temuan ini, Guinet merilis sebuah alat dekripsi ransomware WannaCry, bernama WannaKey, yang pada dasarnya mencoba mengambil dua bilangan prima, yang digunakan dalam formula untuk menghasilkan kunci enkripsi dari memori, dan hanya bekerja pada Windows XP.

Catatan: Di bawah ini saya juga menyebutkan alat lain, dijuluki WanaKiwi, yang bekerja untuk Windows XP ke Windows 7.

“Itu melakukannya dengan mencari mereka dalam proses wcry.exe Ini adalah proses yang menghasilkan kunci privat RSA. Masalah utamanya adalah CryptDestroyKey dan CryptReleaseContext tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait.” Kata Guinet

Jadi, itu berarti, metode ini akan bekerja hanya jika:

Komputer yang terkena dampak belum di-reboot setelah terinfeksi.

Memori yang terkait belum dialokasikan dan dihapus oleh beberapa proses lainnya.

“Agar bisa bekerja, komputer Anda tidak boleh di-reboot setelah terinfeksi. Harap perhatikan juga bahwa Anda memerlukan sedikit keberuntungan agar bekerja (lihat di bawah), dan mungkin tidak berhasil dalam setiap kasus !,” kata Guinet.

“Ini bukan kesalahan pengarang ransomware, karena mereka benar-benar menggunakan API Windows Crypto.”

Sementara WannaKey hanya menarik bilangan prima dari memori komputer yang terkena dampak, alat ini hanya dapat digunakan oleh mereka yang dapat menggunakan bilangan prima tersebut untuk menghasilkan kunci dekripsi secara manual untuk mendekripsi file PC yang terinfeksi WannaCry.

Alat dekripsi WannaCry Ransomware

Kabar baiknya adalah bahwa peneliti keamanan lainnya, Benjamin Delpy, mengembangkan alat yang mudah digunakan yang disebut “WanaKiwi,” berdasarkan temuan Guinet, yang menyederhanakan keseluruhan proses dekripsi file yang diindeks oleh WannaCry.
Yang harus dilakukan korban adalah mendownload alat WanaKiwi dari Github dan menjalankannya di komputer Windows yang terkena dampak dengan menggunakan command line (cmd).
WanaKiwi bekerja pada Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008, mengkonfirmasi Matt Suiche dari perusahaan keamanan Comae Technologies, yang juga telah memberikan beberapa demonstrasi yang menunjukkan bagaimana menggunakan WanaKiwi untuk mendekripsi file Anda.
Meskipun alat ini tidak akan berfungsi untuk setiap pengguna karena ketergantungannya, tetap saja ini memberi beberapa harapan kepada korban WannaCry untuk mendapatkan file terkunci mereka secara gratis bahkan dari Windows XP, versi sistem operasi Microsoft yang menua dan sebagian besar tidak didukung.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s