Senin, 22 Mei 2017

WannaCry Ransomware Descryption Tool : Membuka File Terinfeksi Tanpa Membayar Tebusan


Jika PC anda telah terinfeksi oleh WannaCry - Sebuah Ransomware yang mendatangkan malapetaka di seluruh dunia, Saat ini anda mungkin beruntung mengembalikan file - file terkunci tanpa  harus membayar uang tebusan sebesar $ 300 kepada penjahat cyber ini.

Adrien Guinet, seorang peneliti keamanan cyber Prancis dari Quarkslab, telah menemukan cara untuk mengambil kunci enkripsi rahasia yang digunakan oleh ransomware WannaCry secara gratis, yang bekerja pada sistem operasi Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008.

Kunci Dekripsi Ransomware WannaCry

Skema enkripsi WannaCry bekerja dengan menghasilkan sepasang kunci pada komputer korban yang mengandalkan bilangan prima, kunci "public" dan kunci "private" untuk mengenkripsi dan mendekripsi file sistem masing-masing.

Untuk mencegah korban mengakses kunci private dan mendekripsi file yang terkunci sendiri, WannaCry menghapus kunci dari sistem, sehingga tidak ada pilihan bagi korban untuk mengambil kunci dekripsi kecuali membayar uang tebusan kepada penyerang ransomware.

Tapi inilah kickernya: WannaCry "tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait," kata Guinet.

Berdasarkan temuan ini, Guinet merilis alat dekripsi ransomware WannaCry, bernama WannaKey, yang pada dasarnya mencoba mengambil dua bilangan prima, yang digunakan dalam formula untuk menghasilkan kunci enkripsi dari memori.

"Jadi cara kerjanya dengan mencari mereka dalam proses wcry.exe Ini adalah proses yang menghasilkan kunci privat RSA. Masalah utamanya adalah CryptDestroyKey dan CryptReleaseContext tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait." Kata Guinet

Jadi, itu berarti, metode ini akan bekerja hanya jika:
  •     Komputer yang terkena dampak belum di-reboot setelah terinfeksi.
  •     Memori yang terkait belum dialokasikan dan dihapus oleh beberapa proses lainnya.
"Agar bisa bekerja, komputer anda tidak boleh di-reboot setelah terinfeksi. Harap perhatikan juga bahwa anda memerlukan sedikit keberuntungan agar bekerja (lihat di bawah), dan mungkin tidak berhasil dalam setiap kasus !," kata Guinet.

"Ini bukan kesalahan pembuat ransomware, karena mereka benar-benar menggunakan API Windows Crypto."

Sementara WannaKey hanya menarik bilangan prima dari memori komputer yang terkena dampak, alat ini hanya dapat digunakan oleh mereka yang dapat menggunakan bilangan prima tersebut untuk menghasilkan kunci dekripsi secara manual untuk mendekripsi file PC yang terinfeksi WannaCry.

WanaKiwi: WannaCry Ransomware Decryption Tool

Kabar baiknya adalah bahwa peneliti keamanan lainnya, Benjamin Delpy, mengembangkan alat yang mudah digunakan yang disebut "WanaKiwi," berdasarkan temuan Guinet, yang menyederhanakan keseluruhan proses dekripsi file yang diindeks oleh WannaCry.


Yang harus dilakukan korban adalah mendownload tools WanaKiwi dari Github dan menjalankannya di komputer Windows yang terkena infeksi dengan menggunakan command line (cmd).

WanaKiwi bekerja pada Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008, Yang telah dikonfirmasi Matt Suiche dari security firm Comae Technologies, yang juga telah memberikan beberapa demonstrasi yang menunjukkan bagaimana menggunakan WanaKiwi untuk mendekripsi file anda.

Meskipun tool ini tidak selalu akan berfungsi untuk setiap pengguna karena ketergantungannya, tetap saja ini memberi beberapa harapan kepada korban WannaCry untuk mendapatkan file terkunci mereka secara gratis bahkan dari Windows XP, versi sistem operasi Microsoft yang telah menua dan sebagian besar tidak mendukung.

0 komentar:

Posting Komentar