Aksi Penyanderaan Locker Berakhir

Jakarta - Bila kepala Anda pusing karena ulah ransomware Locker, ada kabar gembira. Pembuat Locker membuat kejutan memposting di Pastebin dengan menguploadkan semua kunci dekripsi semua komputer yang pernah menjadi korban Locker ke mega.co.nz (lihat gambar 1) diikuti dengan permohonan maaf.

Locker merupakan salah satu ransomware yang memakan korban cukup banyak, sekitar 62.703 korban hanya dalam waktu 5 hari dan beroperasi di seluruh dunia yang diaktifkan 25 Mei 2015, pada 30 Mei 2015.

Permohonan maaf itu juga menyatakan bahwa pada 2 Juni 2015, jika korban Locker masih terinfeksi, Locker akan secara otomatis melakukan dekripsi atas SEMUA file secara gratis.


Gambar 1: Permohonan maaf dari Locker di Pastebin.

Jika Anda merupakan korban dari Locker, maka bisa mengunduh private key dari
https://mega.co.nz/#!W85whbSb!kAb-5VS1Gf20zYziUOgMOaYWDsI87o4QHJBqJiOW6Z4

Dan informasi tambahan yang diberikan adalah detail enkripsi yang digunakan oleh Locker lengkap dengan struktur file yang terenkripsi metode yang bisa digunakan untuk dekripsi file.

Bagi orang awam yang tidak berkecimpung di dunia enkripsi, informasi yang diberikan dari Pastebin mungkin masih akan membuat bingung untuk melakukan dekripsi. Karena itu ada seorang developer bernama Nathan Scott dari Easy Sync Backup yang berbaik hati membuatkan tools dekripsi berdasarkan private key yang telah diberikan oleh pembuat Locker.

Namun terlebih dahulu untuk para korban ransomware, Vaksincom menginformasikan bahwa dekriptor ini hanya bisa mendekripsi file yang dienkrip oleh ransomware Locker dan tidak bisa mendekrip ransomware lain seperti CTBLocker, Alphacrypt, Cryptowall atau PCLock.

Berikut cara memastikan ransomware yang mengenkripsi data Anda adalah Locker:
1. File yang dienkripsi tidak mengalami perubahan ekstensi. Sebagai catatan Teslacrypt mengubah ekstensi menjadi .ecc dan .exx sedangkan CTB Locker mengubah ekstensi file yang di enkrip dengan 7 karakter acak.
2. Pada direktori C:ProgramDatarkcl terdapat file dengan nama: data.aa0, data.aa1, data.aa6, data.aa7, data.aa8
3. Anda mendapatkan peringatan seperti pada gambar 2 di bawah ini.
 

Gambar 2: Permintaan tebusan dari Locker.

Jika Anda sudah memastikan bahwa memiliki data yang dienkripsi oleh Locker, berikutlangkah untuk dekripsinya:

1. Persiapkan semua file Anda yang telah menjadi korban enkripsi Locker dan masukkan dalam satu direktori khusus.
2. Unduh program LockerUnlocker https://easysyncbackup.com/Downloads/LockerUnlocker.exe dan jalankan dengan klik ganda. Anda akan mendapatkan menu seperti gambar 3 di bawah ini.
 

Gambar 3: Program LockerUnlocker untuk dekrip data korban Locker.

3. Anda memerlukan Private Key unik untuk dekripsi data Anda. Sebagai catatan, Private Key ini adalah unik untuk setiap korban Locker. Jadi Private Key korban Locker untuk komputer A berbeda dengan Private Key untuk komputer B.

Private Key Locker diidentifikasi dengan alamat Bitcoin unik yang diberikan ketika Anda diminta untuk membayar ransom. Jika Anda tidak memiliki alamat Bitcoin tersebut, bisa mencoba brute BTC dimana program ini akan mencarikan alamat Bitcoin unik Anda berdasarkan data yang telah dienkripsi.

Tunjuk salah satu file yang telah dienkripsi dalam direktori yang telah dipersiapkan tadi (sebaiknya yang ukurannya tidak terlalu besar) dan klik [Brute BTC], Anda akan mendapatkan kotak dialog “Locker BruteForce BTC” (lihat gambar 4).

 
Gambar 4: Klik [Brute BTC] untuk memunculkan kotak dialog “Locker BruteForce BTC”.

4. Klik kotak […] dan arahkan ke salah satu file yang telah dipersiapkan tadi dan klik tombol [Go] (lihat gambar 5)

 
Gambar 5: Locker BruteForce BTC in action.

5. Program Locker BruteForce BTC akan mencari alamat bitcoin yang cocok berdasarkan file yang Anda berikan. Jika memang file yang diberikan benar korban locker dan termasuk dalam 62.703 database korban Locker maka kunci Bitcoin akan ditemukan dan klik tombol [Ok]. (lihat gambar 6)
 

Gambar 6: Locker BruteForce BTC berhasil menemukan Bitcoin Address korban Locker.

6. Setelah Address Bitcoin ditemukan secara otoamtis alamat itu akan dimasukkan ke kotak pada kolom “Key Generation” di kolom kanan (lihat gambar 7) lalu klik tombol [Generate] untuk mengaktifkan Private Key dari database yang telah dipersiapkan oleh Locker Unlocker dan klik [Next]
 

Gambar 7: Alamat Bitcoin akan otomatis masuk ke kotak Key Generation untuk mengaktifkan private key.

7. Anda akan dibawa pada menu “Decryption Method”. Pada kolom “Select Method” seperti pada gambar 8. Pilih “Directory Decription” dan klik tombol [Next]
 
Gambar 8: Pilih “Directory Decryption” pada kolom “Select Method”.

8. Anda akan membuka menu “File Decryption” (lihat gambar 9). Klik tombol […] dan pilih direktori tempat anda menyimpan semua file yang dienkrip oleh Locker yang telah anda persiapkan pada point 1 di atas.
 
Gambar 9: Pilih direktori lokasi file yang dienkrip.

9. Jika Anda ingin mendapatkan log proses dekripsi klik untuk mengaktifkan centang pada kotak kecil di depan “Create Log on Desktop” lalu llik tombol [Start] dan proses dekripsi akan dimulai (lihat gambar 10)
 
Gambar 10: Klik Start untuk memulai proses dekripsi.

10. Biarkan komputer bekerja khususnya jika file yang di dekripsi berjumlah cukup banyak. Setelah selesai anda akan mendapatkan pesan seperti gambar 11 di bawah ini.
 

Gambar 11: Proses dekripsi selesai dan file Anda bisa kembali digunakan.

Kami memohon maaf jika saat ini solusi untuk Ransomware hanya tersedia untuk korban Cryptolocker dan korban Locker dan belum tersedia untuk ransomware lainnya. Vaksincom akan menginformasikan jika solusi dekripsi untuk ransomware lain tersedia.


*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.

(ash/ash)