Tentang ESET TeslaCrypt decryptor; begini kisah dibalik pengembangannya

Pemberitaan yang telah beredar sebelumnya tentang TeslaCrypt operators shutting up shop rupanya selain menarik banyak minat dan perhatian juga menimbulkan serangkaian pertanyaan seputar decryptor tersebut.

Apa yang sebenarnya terjadi dibalik pengembangan TeslaCrypt Decryptor yang secara telak menaklukan salah satu varian ransomware – malware ganas yang meminta tebusan untuk membebaskan komputer dan file yang terinfeksi – yang sempat menjadi perhatian global.

Kami berkesempatan menanyakan beberapa hal langsung ke penulis decryption tool – TeslaCrypt Decryptor. Igor Kabina, ia adalah malware researcher di ESET, ia juga yang mengamati pergerakan-perubahan pada ransomware TeslaCrypt dan akhirnya mengembangkan universal ESET TeslaCrypt decryption tool.

Kisah TeslaCrypt berakhir dengan sangat baik – karena kini pengguna internet sudah mampu menyingkirkan ransomware, dan para korban ransomware sekarang bisa mendapatkan decryptor secara gratis. Anda adalah orang yang memegang peran kunci dalam proses itu, benarkah?

Saya meminta pada operator TeslaCrypt untuk segera merelease ke public, universal master decryption key untuk varian TeslaCrypt terbaru yaitu TeslaCrypt versi yang tidak bisa didekripsi. Setelah master key itu bisa didapat, saya langsung mulai membuat sebuah decryption tool agar para korban ransomware bisa merecover atau mendapatkan kembali file-file mereka yang terkunci akibat infeksi ransomware.

Prinsipnya terdengar sederhana. Tapi minta decryption key langsung ke operator ransomware itu bukan hal yang biasa dan pasti bukan perkara mudah.

Ya betul, decryption keys itu sendiri adalah key atau kunci – sebenar-benarnya kunci meskipun secara fisik bendanya tidak ada karena key disini adalah code atau program – untuk masuk dalam dunia ransomware. Jika seseorang menjadi korban ransomware dan mereka tidak memiliki backup data maka kunci inilah yang diperoleh korban dengan membayar tebusan. Jadi jika ada orang yang menjadi korban kejahatan cyber yang serupa dan dia tidak siap, tidak punya back up data, maka ia ada dalam masalah yang sangat besar.

Kita tahu ada banyak berita yang beredar tentang decryptors yang bisa merecover kembali file-file yang terenkripsi.

Ya, terkadang memang ada pelaku kejahatan yang menggunakan enkripsi yang lemah atau membuat kesalahan pada implementasi sehingga mendorong korban-korbannya untuk mencoba decryptor yang ditawarkan. Tetapi solusi tersebut biasanya memanfaatkan celah tertentu dalam serangan ransomware – dan celah-celah seperti ini pasti akan ditutup di ransomware versi selanjutnya.

Itulah yang membuat kasus ini agak berbeda – bersyukur juga dengan diperolehnya master key, sehingga saya bisa mengimplementasi tool yang mampu mendekripsi beberapa versi terbaru TeslaCrypt pada saat yang sama.

Sekarang mari kita kembali ke bagaimana Anda bisa mendapatkan universal decryption key. Yang kami tahu, Anda begitu saja emintanya dari operator malware. Benarkah sesederhana itu?

Saya sudah mengamati TeslaCrypt ransomware untuk periode waktu yang cukup lama – itu juga bagian dari pekerjaan saya untuk mengamati setiap perkembangan malware, dan memberi dukungan keamanan bagi pengguna ESET. Pada versi-versi awal ransomware ini, dimana terdapat beberapa bug didalamnya, sehingga bia dimanfaatkan oleh decryptor. Sayangnya, pada TeslaCrypt versi yang terakhir, ada pengembangan baru yaitu key protection algorithm yang semakin kuat.

Setelah memahami bagaimana siklus hidup malware tertentu, saya sebenarnya berharap ada pengembangan lebih jauh pada TeslaCrypt. Tapi kemudian beberapa minggu yang lalu, saya perhatikan perkembangannya mulai melambat. Saya pikir operatornya sebentar lagi akan menghentikan aktivitasnya – kebetulan juga, beberapa kelompok yang menyebarkan TeslaCrypt ada yang beralih ke ransomware lain yaitu CryptProjectXXX.

Pada tanggal 27 April yang lalu, muncul versi yang akhirnya menjadi versi terakhir dari TeslaCrypt. Tidak lama kemudian, saya perhatikan orang-orang dibelakang penyebaran TeslaCrypt tiba-tiba menghentikan penyebaran versi tersebut dan semua link yang mereka gunakan perlahan-lahan menghilang. Lalu dengan mengandalkan keberuntungan, saya berpura-pura jadi salah satu korban lalu saya sampaikan permintaan, jika berkenan memberikan seluruh private key – ada empat – yang telah mereka gunakan selama ini sejak TeslaCrypt mulai diaktifkan. Esoknya mereka memberi jawaban, dimana selang waktu satu hari adalah waktu yang standard bagi pelaku untuk memberi respon, tapi yang saya dapat hanya private key untuk varian yang menyerang saya. Saya sampaikan permintaan lagi ke mereka agar mereka bersedia memberikan setidaknya universal private key untuk varian terakhir atau varian ke empat. Dalam waktu 36 jam setelahnya saya temukan sebuah pengumuman yang diposting di laman TeslaCrypt, berbunyi “Project closed” dan universal private key. Awalnya saya tidak percaya mereka bersedia memberikan universal key, tapi setelah saya periksa lagi, saya cocokan dengan public key, akhirnya saya bisa yakin universal private key tersebut benar.

Satu pertanyaan penting terlintas dipikiran saya, sebagaimana Anda sampaikan tadi tentang komunikasi Anda dengan operator malware. Apakah peneliti malware biasa melakukan komunikasi dengan orang-orang dibalik bisnis kotor seperti ini?

Saya jelaskan dulu, semua komunikasi yang dilakukan menggunakan jalur resmi yang memang sengaja dibuat oleh operator ransomware untuk berkomunikasi dengan para korbannya. Semacam help desk pada software biasa. Karena ini sifatnya anonymous, maka para operator tidak tahu bahkan dengan siapa mereka berkomunikasi – Sedangkan yang saya lakukan adalah berpura-pura menjadi korban serangan TeslaCrypt.

Nah, sekarang saya akan menjawab pertanyaan Anda : Tidak. Komunikasi antara penjahat dan malware researcher bukanlah hal yang lumrah, bukan hal yang biasa dilakukan, tapi dalam kasus ini sepertinya layak untuk dicoba.

 Pada bagian penutup dari pengumuman tersebut tertulis kalimat “We are sorry”, tapi apa yang sudah mereka lakukan mengakibatkan dampak yang sangat merugikan terutama bagi para korban.

Sebagaimana CryptoWall, para pelaku / operator mengklaim – apa yang dilakukan – telah membantu banyak orang diantaranya menguji solusi antivirus yang digunakan korban. Saya secara tegas menolak klaim tersebut; yang mereka inginkan hanya merampok uang. Disisi lain para operator atau pencipta TeslaCrypt nyaris tidak ada sikap positif yang mereka tunjukkan. Bahwa mereka memberikan decryption key dalam beberapa kasus infeksi TeslaCrypt, itu benar, namun hal itu tidak bisa menghapus tindak kejahatan yang sudah mereka lakukan.

Lalu apa moral of this story? Pengalaman apa yang bisa dipelajari dari kasus ini?

Masyarakat perlu memahami lebih dalam tentang bagaimana menggunakan komputer, dan bagaimana memproteksi diri mereka sendiri dari threats yang mengelilingi mereka, itu dua hal yang sangat mendasar. Selalu waspada, berhati-hati saat membuka attachment dan link.

Update dan patch di semua aplikasi yang terinstall di komputer harus terjaga kontinuitasnya. Lengkapi juga dengan solusi keamanan yang handal dan dikonfigurasi sesuai dengan kebutuhan. Hal lain yang sangat krusial berdasarkan apa yang sudah terjadi adalah back up data, yang tersimpan di lokasi penyimpanan seperti external hard disk.

Perusahaan antivirus sekarang ini sedang sibuk melakukan apapun yang mereka mampu lakukan untuk menangkal serangan ransomware, namun selalu ada aspek human factor, yang senantiasa menjadi incaran para penjahat cyber, dengan menggunakan teknik social engineering. Masyarakat juga harus mulai menyadari ketika mereka terkena serangan ransomware, masalah utama adalah bukan tentang file. Pengembang ransomware tidak pernah perduli dengan file; mereka – para pelaku – hanya perduli pada uang. Meskipun saya menyadari betapa sulit menerima kenyataan kehilangan file penting, namun kami di ESET merekomendasikan untuk jangan pernah membayar tebusan. Karena ketika seluruh masyarakat bersikap tidak membayar tebusan, maka dimasa yang akan datang tidak ada lagi yang namanya ransomware. Pada saat yang sama, percayalah masih banyak orang-orang baik yang bersedia melakukan yang terbaik untuk memberi perlindungan, dan mencari cara untuk bisa membantu.

sumber : we live security