Jika PC kalian terinfeksi oleh WannaCry – sebuah Ransomware yang lagi nge-hitz di seluruh dunia pada hari Jumat yang lalu, bagi kalian yang belum membayar tebusan, hal ini bisa menjadi keberuntungan, karena kalian bisa mengembalikan file yang terenkripsi tanpa membayar uang tebusan sebesar $300 kepada pelaku.
Adrien Guinet, seorang peneliti keamanan Prancis dari Quarkslab, telah menemukan cara untuk mengambil kunci enkripsi rahasia. Kunci enkripsi yang digunakan oleh ransomware WannaCry dibagikan secara gratis. Sudah dicoba dan bekerja pada sistem operasi Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008.
WannaCry Ransomware Decryption Keys
Skema enkripsi WannaCry bekerja dengan menghasilkan sepasang kunci pada komputer korban yang mengandalkan bilangan prima, kunci “publik” dan kunci “pribadi”. Yang digunakan untuk mengenkripsi dan mendekripsi masing-masing file sistem.
Untuk mencegah korban mengakses kunci privat dan mendekripsi file yang terkunci sendiri, WannaCry menghapus kunci dari sistem. Sehingga tidak ada pilihan bagi korban untuk mengambil kunci dekripsi kecuali membayar uang tebusan kepada attacker.
Tapi inilah celahnya, WannaCry “tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait,” kata Guinet.
Berdasarkan temuan ini, Guinet merilis sebuah alat dekripsi ransomware WannaCry, bernama WannaKey, yang pada dasarnya mencoba mengambil dua bilangan prima, yang digunakan dalam formula untuk menghasilkan kunci enkripsi dari memori, dan hanya bekerja pada Windows XP.
Catatan: Di bawah ini saya juga menyebutkan alat lain, dijuluki WanaKiwi, yang bekerja untuk Windows XP hingga Windows 7.
“Itu dilakukan dengan cara mencari sesuatu dalam proses wcry.exe, ini adalah proses yang menghasilkan kunci privat RSA. Masalah utamanya adalah CryptDestroyKey dan CryptReleaseContext tidak menghapus bilangan prima dari memori sebelum membebaskan memori yang terkait.” Kata Guinet
Jadi, itu berarti, metode ini akan bekerja hanya jika:
- Komputer yang terkena dampak belum di-reboot setelah terinfeksi.
- Memori yang terkait belum dialokasikan dan dihapus oleh beberapa proses lainnya. “Agar bisa bekerja, komputer Anda tidak boleh di-reboot setelah terinfeksi.
- Harap perhatikan juga bahwa Anda memerlukan sedikit keberuntungan agar bekerja (lihat di bawah), dan mungkin tidak berhasil dalam beberapa kasus,” kata Guinet.
“Ini bukan kesalahan pengarang ransomware, karena mereka benar-benar menggunakan API Windows Crypto.”
Sementara WannaKey hanya menarik bilangan prima dari memori komputer yang terkena dampak. Alat ini hanya dapat digunakan oleh mereka yang dapat menggunakan bilangan prima tersebut untuk menghasilkan kunci dekripsi secara manual untuk mendekripsi file PC yang terinfeksi WannaCry.
Kabar baiknya adalah bahwa peneliti keamanan lainnya, Benjamin Delpy, mengembangkan alat yang mudah digunakan yang disebut “WanaKiwi.”
Tools ini ada berdasarkan temuan Guinet, yang menyederhanakan keseluruhan proses dekripsi file yang diindeks oleh WannaCry.
Yang harus dilakukan korban adalah mendownload alat WanaKiwi dari Github dan menjalankannya di komputer Windows yang terkena dampak dengan menggunakan command prompt (cmd).
WanaKiwi bekerja pada Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan 2008, mengkonfirmasi Matt Suiche dari perusahaan keamanan Comae Technologies. Dia juga telah memberikan beberapa demonstrasi yang menunjukkan bagaimana menggunakan WanaKiwi untuk mendekripsi file Anda.
Meskipun alat ini tidak akan berfungsi untuk setiap pengguna karena ketergantungannya, tetap saja ini memberi beberapa harapan kepada korban WannaCry untuk mendapatkan file terkunci mereka secara gratis bahkan dari Windows XP, atau versi sistem operasi Microsoft yang jadul dan sebagian besar tidak didukung.
