Kabar baik bagi beberapa korban ransomware, peneliti keamanan yang bekerja dengan Bleeping Computer crew telah berhasil menemukan celah yang dapat dimanfaatkan untuk mendekripsi file yang terkunci akibat ulah ransomware Xorist. Xorist adalah varian ransomware yang relatif baru dan pertama kali terlihat pada awal tahun ini. Secara teknis ransomware ini adalah ransomware sederhana dibandingkan dengan Locky, TeslaCrypt atau cryptolocker.
Dalam kasus Xorist, semua file yang terdapat pada komputer korban akan terkunci dan tidak dapat diakses, kemudian ransomware ini akan meninggalkan catatan tebusan yang memberitahu korban untuk segera mengirim ID via SMS ke nomor telepon tertentu. Dan hal ini merupakan yang pertama kalinya infeksi Xorist ransomware menggunakan layanan SMS, pada umunya penyerang yang menggunakan ransomware justru lebih nyaman menggunakan Bitcoin dan situs Tor-host.
Tanda kedua adalah untuk mendekripsi file, korban harus memasukkan password dekripsi (diterima melalui SMS balasan) dalam popup yang dipicu oleh ransomware tersebut. Dianjurkan untuk tidak memasukkan password acak dalam kotak popup, karena Xorist membatasi jumlah dekripsi dan Anda mungkin akan kehilangan file selamanya. Sebenarnya metode ini sudah usang, banyak pengembang ransomware telah menggunakan Decrypter mandiri, terpisah dari tubuh ransomware utama, dikirim ke pengguna setelah ransomware dibayar melalui bitCoin.
Dalam kasus Xorist, semua file yang terdapat pada komputer korban akan terkunci dan tidak dapat diakses, kemudian ransomware ini akan meninggalkan catatan tebusan yang memberitahu korban untuk segera mengirim ID via SMS ke nomor telepon tertentu. Dan hal ini merupakan yang pertama kalinya infeksi Xorist ransomware menggunakan layanan SMS, pada umunya penyerang yang menggunakan ransomware justru lebih nyaman menggunakan Bitcoin dan situs Tor-host.
Tanda kedua adalah untuk mendekripsi file, korban harus memasukkan password dekripsi (diterima melalui SMS balasan) dalam popup yang dipicu oleh ransomware tersebut. Dianjurkan untuk tidak memasukkan password acak dalam kotak popup, karena Xorist membatasi jumlah dekripsi dan Anda mungkin akan kehilangan file selamanya. Sebenarnya metode ini sudah usang, banyak pengembang ransomware telah menggunakan Decrypter mandiri, terpisah dari tubuh ransomware utama, dikirim ke pengguna setelah ransomware dibayar melalui bitCoin.
Xorist menggunakan TEA (Tiny Encryption Algorithm) atau algoritma XOR untuk mengenkripsi file dan menargetkan 57 jenis ekstensi file secara default. Beberapa ekstensi file terlihat akibat Xorist yaitu .EnCiPhErEd, .73i87A, .p5tkjw, dan .PoAr2w. Kabar baiknya adalah bahwa Fabian Wosar dari Emsisoft telah berhasil menemukan sebuah cacat enkripsi untuk Xorist. Kabar buruknya adalah kita harus menghubungi Wosar secara pribadi. Jika Anda salah satu dari korban, Anda dapat meminta bantuannya melalui forum ini (1, 2).
0 comments:
Post a Comment