Selain bisa membuka enkrispi (decrypt file) file ransomware, cara ini juga bisa membuka file ransomware seperti Cryptolocker (parsial), Coinvault , Rescue Kit.
Dikutip dari situs thehackernews.com, telah ditemukan salah satu solusi untuk membuka enkrispi file ransomware yang lebih dikenal dengan nama Hydracrypt dan Umbrecrypt dimana file tersebut disebarkan melalui Angler Exploit Kit. Kedua file malware tersebut adalah milik keluarga ransomware CrypBoss.
Kode sumber CrypBoss Ransomware bocor tahun lalu di Pastebin, yang kemudian dianalisis oleh Fabian Wosar, seorang peneliti keamanan di Emsisoft. Dengan bantuan kode sumber CrypBoss, Wosar berhasil memecahkan algoritma enkripsi dari ransomware dan cepat membuat alat dekripsi untuk CrypBoss dan variannya ( Hydracrypt dan Umbrecrypt ).
"Sayangnya perubahan yang dibuat oleh penulis HydraCrypt dan UmbreCrypt menyebabkan hingga 15 byte pada akhir file yang akan rusak irrecoverably" kata Wosar.
File yang rusak tersebut tidak terlalu berpengaruh dalam proses dekripsi. Jika kamu penasaran untuk mencobanya, aplikasi dekripsi (descryptor) bisa didownload melalui link di bawah ini.
Cara membuka enkripsi / cara mendekrip file terenkrisipsi ransomware:
Tes terlebih dahulu aplikasi ini dengan menggunakan sejumlah kecil file yang terinfeksi file ransomware, caranya :
- Drag n drop 2 file yang terenkripsi dan tidak terenkripsi (misal file gambar) ke aplikasi yang didownload tadi, tunggu hingga proses selesai, jika berhasil kamu akan mendapatkan kode dekripsi
Jika telah yakin file yang tadi didekrip bisa normal kembali, sekarang saatnya untuk mendekrip file atau folder yang lebih banyak lagi :
- Jalankan aplikasi yang sudah didownload tadi
- Tunggu proses inisialisasi sampai dengan selesai
Semua folder yang ditambahkan ke daftar folder akan didekripsi secara rekursif, yang berarti file yang terletak di sub-folder dari folder yang dipilih akan dienkripsi juga.
Disarankan mencoba untuk menjalankan Decrypter pada sejumlah file pertama dan secara manual memeriksa file-file yang dienkripsi dengan benar sebelum pindah untuk mendekripsi sejumlah besar file. Ini dilakukan untuk memastikan Decrypter mendapatkan yang benar dan dapat menghemat banyak waktu dalam jangka panjang jika ternyata penulis malware mengubah algoritma enkripsi dalam varian hingga menyebabkan Decrypter tidak mendukung/sesuai.
Malware sayangnya tidak meninggalkan informasi apapun tentang file asli. Itu berarti Decrypter tidak dapat yakin bahwa hasil dekripsi adalah benar. Untuk itu, Decrypter tidak akan menghapus file terenkripsi di sistem komputer. Itu juga berarti, bahwa kamu perlu memastikan disk memiliki cukup ruang sebelum dimulai dekripsi. Jika disk kamu rendah dan kamu tidak memiliki cara untuk membuat ruang kosong, Decrypter juga memiliki opsi untuk menghapus versi enkripsi file setelah didekripsi. Tetapi hal ini sangat tidak menyarankan.
ref :
http://thehackernews.com/2016/02/decrypt-ransomware-files.html
0 Response to "Ini Dia Cara Membuka Enkripsi File Ransomware Hydracrypt dan Umbrecrypt"
Posting Komentar