Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Decryptor

Decryptor

Avast Merilis Dekriptor Ransomware BianLian Gratis

by

Perusahaan perangkat lunak keamanan Avast merilis dekriptor gratis bagi ransomware BianLian untuk membantu korban malware memulihkan file yang terkunci tanpa membayar peretas.

Alat dekriptor Avast hanya dapat membantu korban yang diserang oleh varian yang diketahui dari ransomware BianLian.

Dekriptor BianLian sedang dalam proses dan kemampuan untuk membuka lebih banyak strain akan segera ditambahkan.

Ransomware BianLian
BianLian adalah jenis ransomware berbasis Go yang menargetkan sistem Windows, menggunakan algoritma AES-256 simetris dengan mode sandi CBC untuk mengenkripsi lebih dari 1013 ekstensi file di semua drive yang dapat diakses.

Malware melakukan enkripsi intermiten pada file korban, sebuah taktik yang membantu mempercepat serangan dengan mengorbankan kekuatan penguncian data.

Informasi lebih lanjut tentang pengoperasian ransomware lain dapat dilihat dalam laporan SecurityScoreCard tentang strain yang diterbitkan pada Desember 2022.

Dekriptor Avast
Dekriptor ransomware BianLian tersedia secara gratis dan program ini dapat dijalankan secara mandiri yang tidak memerlukan instalasi.

Dekriptor ini menyediakan beberapa fitur, seperti pemilihan lokasi yang akan dijalankan dekriptor, menyediakan perangkat lunak dengan sepasang file asli/terenkripsi, mencadangkan file terenkripsi, dan opsi terkait kata sandi.

Selengkapnya: BleepingComputer

Decryptor gratis dirilis untuk AstraLocker, korban ransomware Yashma

by

Perusahaan keamanan siber yang berbasis di Selandia Baru Emsisoft telah merilis alat dekripsi gratis untuk membantu korban ransomware AstraLocker dan Yashma memulihkan file mereka tanpa membayar uang tebusan.

Alat gratis ini tersedia untuk diunduh dari server Emsisoft, dan memungkinkan Anda memulihkan file terenkripsi menggunakan instruksi yang mudah diikuti yang tersedia dalam panduan penggunaan ini [PDF].

“Pastikan untuk mengkarantina malware dari sistem Anda terlebih dahulu, atau mungkin berulang kali mengunci sistem Anda atau mengenkripsi file,” Emsisoft memperingatkan.

Decryptor ransomware akan memungkinkan Anda untuk menyimpan file yang dienkripsi dalam serangan sebagai failsafe jika file yang didekripsi tidak identik dengan dokumen asli.

Emsisoft juga menyarankan korban AstraLocker dan Yashma yang sistemnya disusupi melalui Windows Remote Desktop untuk mengubah kata sandi untuk semua akun pengguna yang memiliki izin untuk masuk dari jarak jauh dan untuk mencari akun lokal lain yang mungkin telah ditambahkan oleh operator ransomware.

Dekripsi AstraLocker (Emsisoft)

Decryptor dirilis setelah aktor ancaman di balik ransomware AstraLocker mengatakan bahwa mereka menutup operasi dengan rencana untuk beralih ke cryptomining.

Pengembang ransomware membagikan arsip ZIP dengan dekripsi AstraLocker dan Yashma yang mereka kirimkan ke platform analisis malware VirusTotal.

Meskipun mereka tidak mengungkapkan alasan di balik penutupan AstraLocker, penyebab yang paling mungkin adalah publisitas tiba-tiba yang dibawa oleh laporan baru-baru ini yang akan membuat operasi tersebut menjadi sasaran penegakan hukum.

AstraLocker didasarkan pada ransomware Babuk Locker (Babyk), jenis buggy namun masih berbahaya yang kode sumbernya bocor pada bulan September di forum peretas.

Sumber: Bleeping Computer

Decryptor gratis dirilis untuk korban ransomware Yanluowang

by

Kaspersky hari ini mengungkapkan menemukan kerentanan dalam algoritma enkripsi ransomware Yanluowang, yang memungkinkan untuk memulihkan file yang dienkripsi.

Perusahaan keamanan siber Rusia telah menambahkan dukungan untuk mendekripsi file yang dikunci oleh jenis ransomware Yanluowang ke utilitas RannohDecryptor-nya.

Strain ransomware ini mengenkripsi file yang lebih besar dari 3GB dan yang lebih kecil dari 3GB menggunakan metode yang berbeda: yang lebih besar sebagian dienkripsi dalam strip 5MB setelah setiap 200MB, sementara yang lebih kecil sepenuhnya dienkripsi dari awal hingga akhir.

Karena itu, “jika file asli lebih besar dari 3 GB, dimungkinkan untuk mendekripsi semua file pada sistem yang terinfeksi, baik besar maupun kecil. Tetapi jika ada file asli yang lebih kecil dari 3 GB, maka hanya file kecil yang dapat didekripsi.”

Untuk mendekripsi file Anda, Anda memerlukan setidaknya satu file asli:

  • Untuk mendekripsi file kecil (kurang dari atau sama dengan 3 GB), Anda memerlukan sepasang file dengan ukuran 1024 byte atau lebih. Ini cukup untuk mendekripsi semua file kecil lainnya.
  • Untuk mendekripsi file besar (lebih dari 3 GB), Anda memerlukan sepasang file (terenkripsi dan asli) dengan ukuran masing-masing tidak kurang dari 3 GB. Ini akan cukup untuk mendekripsi file besar dan kecil.

Untuk mendekripsi file yang dienkripsi oleh ransomware Yanluowang, Anda harus menggunakan alat dekripsi Rannoh yang tersedia untuk diunduh dari server Kaspersky.

Kaspersky RannohDecryptor (BleepingComputer)

Ransomware Yanluowang, pertama kali terlihat pada Oktober 2021, telah digunakan dalam serangan yang dioperasikan manusia dan sangat ditargetkan terhadap entitas perusahaan.

Satu bulan kemudian, salah satu afiliasinya diamati menyerang organisasi AS di sektor keuangan setidaknya sejak Agustus, menggunakan malware BazarLoader untuk pengintaian.

Berdasarkan taktik, teknik, dan prosedur (TTP) yang digunakan dalam serangan ini, afiliasi Yanluowang ini terkait dengan operasi ransomware Thieflock yang dikembangkan oleh grup Fivehands (dilacak oleh Mandiant sebagai UNC2447).

Setelah digunakan pada jaringan yang disusupi, Yanluowang menghentikan mesin virtual hypervisor, mengakhiri semua proses, dan mengenkripsi file yang menambahkan ekstensi .yanluowang.

Itu juga menjatuhkan catatan tebusan bernama README.txt yang memperingatkan korban untuk tidak menghubungi penegak hukum atau meminta bantuan perusahaan negosiasi ransomware.

Jika permintaan penyerang tidak dipenuhi, operator ransomware mengancam untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi terhadap jaringan korban dan memberi tahu karyawan dan mitra bisnis mereka bahwa mereka telah dilanggar.

Sumber : Bleeping Computer

Decryptor gratis dirilis untuk korban HermeticRansom di Ukraina

by

Avast telah merilis decryptor untuk jenis ransomware HermeticRansom yang digunakan dalam serangan yang ditargetkan terhadap sistem Ukraina selama sepuluh hari terakhir.

Decryptor ditawarkan sebagai alat unduh gratis dari situs web Avast dan dapat membantu orang Ukraina memulihkan data mereka dengan cepat dan andal.

Tanda-tanda pertama distribusi HermeticRansom diamati oleh para peneliti ESET pada 23 Februari, hanya beberapa jam sebelum invasi pasukan Rusia terjadi di Ukraina.

Jenis ransomware dikirimkan bersama dengan worm komputer bernama HermeticWizard dan lebih berfungsi sebagai umpan dalam serangan penghapus daripada alat untuk mendukung pemerasan finansial. Namun, infeksinya telah mengganggu sistem vital Ukraina.

Crowdstrike dengan cepat menemukan kelemahan dalam skema kriptografi dari strain yang ditulis GO dan menawarkan skrip untuk mendekripsi file yang dienkripsi oleh HermeticRansom (alias PartyTicket).

HermeticRansom berisi banyak nama string berorientasi politik dalam biner ransomware, catatan tebusan, dan email kontak (vote2024forjb@protonmail.com dan stephanie.jones2024@protonmail.com).

HermeticRansom tidak pernah dimaksudkan untuk berfungsi sebagai jenis ransomware modern yang akan menjadi dasar bagi pemerasan ganda, yang menimbulkan kerusakan finansial dan reputasi.

Di atas tidak berarti bahwa infeksi HermeticRansom tidak berdampak pada mesin yang ditargetkan.

Sebaliknya, jenis ini masih dapat mengenkripsi file berharga di luar File Program dan folder Windows, menggunakan kunci RSA-2048.

Catatan tebusan yang dilihat oleh para korban memiliki bentuk dan isi yang khas, meminta mereka untuk menghubungi alamat ProtonMail untuk mendapatkan decryptor.

Catatan tebusan HermeticRansom/PartyTicket

Meskipun skrip Crowdstrike dapat diandalkan, tidak mudah bagi semua orang untuk menggunakannya dalam situasi ini. Untuk mempermudahnya, Avast telah merilis GUI decryptor yang memudahkan untuk mendekripsi file yang dienkripsi oleh HermeticRansom.

Selain itu, alat ini menawarkan opsi untuk mencadangkan file yang dienkripsi untuk menghindari berakhirnya file yang rusak secara permanen jika terjadi kesalahan dengan proses enkripsi.

Dekripsi grafis Avast

Sumber : Bleeping Computer

AvosLocker Ransomware Group Memberikan Decryptor Setelah Melanggar Polisi AS

by

Grup Ransomware AvosLocker telah memberikan decryptor gratis setelah secara tidak sengaja mengenkripsi agen pemerintah AS. Kelompok ransomware AvosLocker menyerang departemen kepolisian AS dan perangkat terenkripsi.

Kelompok ini juga mencuri data dari perangkat terenkripsi tersebut.

AvosLocker Ransomware Group dan niatnya

Menurut seorang peneliti keamanan pancak3, kelompok ransomware AvosLocker menyerahkan decryptor setelah menyadari bahwa korban adalah lembaga pemerintah.

Perlu dicatat bahwa para aktor hanya menyediakan decryptor dan bukan daftar file yang dicuri dan proses di mana mereka melanggar jaringan agensi. Menurut aktor AvosLocker, mereka biasanya tidak menargetkan badan pemerintah dan lembaga kesehatan.

AvosLocker juga menyebutkan bahwa mereka sengaja menghindari badan pemerintah karena uang pembayar pajak umumnya sulit didapat. Namun, penegak hukum telah menangkap beberapa anggota ransomware dalam beberapa waktu terakhir, yang mencakup kelompok ransomware Netwalker, REvil, Egregor dan Clop.

Tindakan penegakan hukum terhadap aktor ransomware

Tindakan ini telah membuat kelompok ransomware tertentu untuk menutup operasi mereka termasuk avaddon, REvil, BlackMatter dan kelompok DarkSide. Sementara kita tahu bahwa sebagian besar kelompok-kelompok ini mengubah citra diri mereka untuk melompat lagi untuk operasi lain, tekanan dari penegakan hukum harus dihargai.

Sumber: The Cyber Security Times

STOP Vaksin Ransomware dirilis untuk memblokir enkripsi

by

Perusahaan keamanan perangkat lunak Jerman G DATA merilis vaksin yang akan memblokir STOP Ransomware dari mengenkripsi file korban setelah infeksi.

Analis malware G DATA Karsten Hahn dan John Parol menjelaskan “Alat ini tidak mencegah infeksi itu sendiri. STOP ransomware masih akan menempatkan catatan tebusan dan dapat mengubah pengaturan pada sistem,”

Vaksin ini dapat menyebabkan perangkat lunak keamanan percaya bahwa sistem Anda terinfeksi karena ia bekerja dengan menambahkan file yang biasanya disebarkan malware pada sistem yang terinfeksi untuk mengelabui ransomware yang telah disusupi perangkat.

Sementara decryptor juga dirilis untuk STOP Ransomware pada Oktober 2019 oleh Emsisoft dan Michael Gillespie untuk mendekripsi file yang dienkripsi oleh 148 varian secara gratis, namun tidak lagi berfungsi dengan varian yang lebih baru.

STOP ransomware vaccine (BleepingComputer)

Namun, karena pelaku ancaman biasanya mengabaikan vaksin setelah dirilis, vaksin tersebut mungkin berhenti bekerja untuk versi ransomware ini di masa mendatang.

Karena itu, setelah menerapkan vaksin, Anda harus memastikan bahwa file penting Anda juga dicadangkan.

Dari ribuan pengiriman ID Ransomware per hari selama aktivitas ransomware tinggi, antara 60 dan 70% adalah STOP pengiriman ransomware.

Ini karena ransomware ini terutama menargetkan pengguna rumahan melalui situs teduh dan bundel adware yang mendorong celah perangkat lunak berbahaya atau bundel adware yang disamarkan sebagai program gratis.

Yang terakhir biasanya menginstal berbagai perangkat lunak yang tidak diinginkan ke komputer pengguna, dan, lebih sering daripada tidak, salah satu program yang diinstal adalah malware seperti STOP Ransomware.

Retak yang dilaporkan telah digunakan dalam pengiriman STOP Ransomware termasuk KMSPico, Cubase, Photoshop, dan perangkat lunak antivirus.

Selain menggunakan metode penyebaran ini, STOP hanyalah ransomware biasa, yang mengenkripsi file, menambahkan ekstensi, dan menjatuhkan catatan yang meminta tebusan mulai dari $500 hingga $1000.

Sumber : Bleeping Computer

Ragnarok ransomware merilis master decryptor setelah penonaktifan grup

by

Geng ransomware Ragnarok tampaknya telah berhenti dan merilis kunci master yang dapat mendekripsi file yang dikunci dengan malware mereka.

Pelaku ancaman tidak meninggalkan catatan yang menjelaskan tindakan tersebut; tiba-tiba, mereka mengganti semua korban di situs kebocoran mereka dengan instruksi singkat tentang cara mendekripsi file.

Situs kebocoran telah dilucuti dari elemen visual. Yang tersisa hanyalah teks singkat yang menghubungkan ke arsip yang berisi kunci master dan binari yang menyertainya untuk menggunakannya.

Hingga hari ini, situs kebocoran ransomware Ragnarok menunjukkan 12 korban, ditambahkan antara 7 Juli dan 16 Agustus, kata penyedia intelijen ancaman HackNotice kepada BleepingComputer.

Dengan mencantumkan korban di situs web mereka, Ragnarok berusaha memaksa mereka untuk membayar uang tebusan, di bawah ancaman membocorkan file tidak terenkripsi yang dicuri selama penyusupan.

Perusahaan yang terdaftar berasal dari Prancis, Estonia, Sri Lanka, Turki, Thailand, AS, Malaysia, Hong Kong, Spanyol, dan Italia dan aktif di berbagai sektor mulai dari manufaktur hingga layanan hukum.

Decryptor universal untuk ransomware Ragnarok saat ini sedang dalam pengerjaan. Ini akan segera tersedia dari Emsisoft, sebuah perusahaan yang terkenal karena membantu korban ransomware dengan dekripsi data.

Grup ransomware Ragnarok telah ada setidaknya sejak Januari 2020 dan merenggut puluhan korban setelah menjadi berita utama karena mengeksploitasi kerentanan Citrix ADC tahun lalu.

Selengkapnya: Bleeping Computer

Peretas ransomware Colonial pipeline memiliki senjata rahasia: perusahaan keamanan siber yang mempromosikan diri sendiri

by

Pada 11 Januari, perusahaan antivirus Bitdefender mengatakan “dengan senang hati mengumumkan” terobosan yang mengejutkan. Mereka telah menemukan cacat pada ransomware yang digunakan oleh geng yang dikenal sebagai DarkSide untuk membekukan jaringan komputer dari lusinan bisnis di AS dan Eropa. Perusahaan yang menghadapi tuntutan dari DarkSide dapat mengunduh alat gratis dari Bitdefender dan menghindari membayar jutaan dolar sebagai tebusan kepada para peretas.

Tetapi Bitdefender bukanlah yang pertama mengidentifikasi kekurangan ini. Dua peneliti lain, Fabian Wosar dan Michael Gillespie, telah memperhatikannya sebulan sebelumnya dan diam-diam mulai mencari korban untuk ditolong.

Dengan mempublikasikan alatnya, Bitdefender memberi tahu DarkSide tentang kesalahan tersebut, yang melibatkan penggunaan kembali kunci digital yang sama untuk mengunci dan membuka banyak korban. Keesokan harinya, DarkSide menyatakan bahwa mereka telah memperbaiki masalah, dan bahwa “perusahaan baru tidak memiliki harapan apa pun”.

“Terima kasih kepada BitDefender untuk membantu memperbaiki masalah kami,” kata DarkSide. “Ini akan membuat kami lebih baik.”

DarkSide segera membuktikan bahwa itu bukanlanh gertakan, melepaskan serangkaian serangan. Bulan ini, hal itu melumpuhkan Colonial Pipeline Co., mendorong penutupan pipa sepanjang 5.500 mil yang membawa 45% bahan bakar yang digunakan di East Coast — dengan cepat diikuti oleh kenaikan harga bensin, panik membeli gas di seluruh Tenggara, dan penutupan ribuan pompa bensin.

Insiden tersebut juga menunjukkan bagaimana perusahaan antivirus yang ingin membuat nama untuk dirinya sendiri terkadang melanggar salah satu aturan utama dari permainan kucing-dan-tikus perang dunia maya: Jangan biarkan lawan Anda tahu apa yang Anda ketahui.

Wosar mengatakan bahwa merilis alat secara publik, seperti yang dilakukan Bitdefender, menjadi lebih berisiko karena uang tebusan telah melonjak dan geng-geng tersebut menjadi lebih kaya dan lebih mahir secara teknis.

Pada masa-masa awal ransomware, ketika peretas membekukan komputer rumah untuk beberapa ratus dolar, mereka sering kali tidak dapat menentukan bagaimana kodenya rusak kecuali jika cacat tersebut secara khusus ditunjukkan kepada mereka.

Saat ini, pencipta ransomware “memiliki akses ke reverse engineers dan penetration testers yang sangat mampu,” katanya. “Begitulah cara mereka masuk ke jaringan yang seringkali sangat aman ini.

Mereka mengunduh decryptor, membongkarnya, melakukan reverse-engineer, dan mereka mengetahui dengan tepat mengapa kami dapat mendekripsi file mereka. Dan 24 jam kemudian, semuanya diperbaiki. Bitdefender seharusnya tahu lebih baik.”

Selengkapnya: Technology Review