2 days ago
11
Jakarta -
Akira adalah ransomware yang beberapa tahun belakangan sangat aktif mencari korban. Baru-baru ini, seorang programer asal Indonesia berhasil menjebol enkripsi salah satu varian ransomware Akira. Keren!
Akira adalah ransomware yang tersedia untuk beberapa platform, dan sangat aktif sejak tahun 2023. Akira tersedia dalam bentuk ransomware as a service, yang artinya ransomware ini bisa dipakai oleh siapa saja, dari sekadar script kiddies sampai penjahat siber kelas kakap.
Sejauh ini korban Akira sudah mencapai 250 organisasi, dan meraup uang tebusan mencapai USD 42 juta, demikian dikutip detikINET dari Techspot, Rabu (19/3/2025).
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Namun enkripsi salah satu varian Akira ini berhasil dijebol oleh Yohanes Nugroho, seorang programer asal Indonesia, yang mempublikasikan hasil karyanya ini di blog pribadinya.
Sebagai informasi, Yohanes ini adalah programer yang pada Juli 2024 lalu juga berhasil melakukan reverse engineering terhadap ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2.
Kali ini ia mengembangkan decryptor atau kunci enkripsi untuk data-data yang dikunci oleh ransomware Akira tersebut.
Proses dekripsi ini diceritakan Yohanes lewat blog Tinyhack. Menurutnya, ia membuat decryptor untuk ransomware Akira versi Linux setelah dimintai tolong oleh temannya. Saat menganalisa ransomware itu, ditemukan bahwa Akira menggunakan waktu sebagai seed untuk membuat kunci enkripsi yang sangat kuat.
Proses enrkipsi dinamis menggunakan kunci yang unik untuk setiap file, menggunakan empat seed timestamp yang berbeda dengan tingkat akurasi hingga nanodetik. Kunci tersebut kemudian dipecah menjati 1.500 dari fungsi SHA-256. Dan, terakhir, kunci tersebut dienkripsi menggunakan algoritma RSA-4096 dan ditambahkan di ujung setiap file yang terenkripsi.
Rumitnya proses enkripsi itu membuat proses pembuatan kunci ini menjadi jauh lebih sulit. Sampai-sampai ia harus menyewa belasan kartu grafis kelas atas untuk mempercepat prosesnya.
"Saat memulai proyek ini saya hanya punya dua RTX 3060. Satu di antaranya khusus dipakai di PC Windows saya, jadi saya hanya bisa memakai 1 GPU di Mini PC (terhubung secara eksternal lewat Oculink). Untuk meningkatkan performanya, saya memutuskan untuk membeli sebuah RTX 3090. Harga di Thailand masih masuk akal ketimbang 4090 atau model kelas atas lainnya," tulis Yohanes, yang dalam biodatanya disebut tinggal di Chiang Mai, Thailand.
Namun rupanya RTX 3090 ini pun tak cukup kencang untuk melakukan brute force terhadap enkripsi tersebut. Akhirnya ia menyewa GPU lewat layanan cloud RunPod dan Vast.ai. Ia menggunakan 16 RTX 4090 di cloud, dan bisa menyelesaikan prosesnya selama 10 jam.
Yohanes menyebut RTX 4090 ini menjadi pilihan yang tepat untuk mendekripsi file korban ransomware Akira, karena jumlah CUDA core yang tinggi dan biaya sewanya yang relatif murah.
Hasil temuannya ini kemudian disebar ke publik dengan lisensi open source. Namun Yohanes menuliskan pesan dalam kesimpulan di postingan tersebut.
"Mungkin 99,9% saat anda terkena ransomware, ini tak mungkin bisa diselamatkan tanpa kuncinya," tulis Yohanes.
Namun menurutnya jika si korban cukup beruntung, terkadang mungkin juga untuk menemukan solusi. Namun solusi tersebut kemungkinan membutuhkan waktu yang lama.
"Ini membutuhkan waktu lebih lama untuk dipecahkan ketimbang yang saya perkirakan, saya pikir hanya butuh satu minggu, namun akhirnya menghabiskan waktu hampir tiga minggu sampai kami bisa menyelamatkan data VM secara keseluruhan," tambahnya.
Ia pun tak yakin kalau ransomware yang berhasil ia pecahkan enkripsinya itu sama dengan ransomware Akira yang dilihatnya di sebuah thread di Reddit.
(asj/asj)
