Analisis Ransomware — Membongkar Cara Kerja dan Algoritma Enkripsi

Ransomware. Satu kata yang bikin dingin punggung admin IT di seluruh dunia — termasuk Indonesia.

Dari PDNS Surabaya yang lumpuh berhari-hari, sampai rumah sakit yang terpaksa menolak pasien karena rekam medis terenkripsi — ransomware adalah ancaman paling nyata dan paling merusak di era digital ini.

Tapi sebagai malware analyst, lo nggak cuma perlu tau "cara menangani" ransomware. Lo perlu paham cara kerjanya. Algoritma apa yang dipakai? Gimana kunci enkripsi di-generate? Apakah ada cara untuk decrypt tanpa bayar?

Di artikel ini, kita bakal bedah ransomware dari sisi teknis. Lo bakal belajar gimana ransomware modern bekerja — bukan cuma "dia encrypt file", tapi gimana dia encrypt, dengan apa, dan kenapa (hampir) mustahil di-decrypt tanpa kunci.

Ini artikel yang cukup teknis. Tapi tenang, gue bakal jelasin dengan bahasa yang — semoga — tetap bisa dicerna. Siap? Kita mulai.

Bagaimana Ransomware Bekerja: Gambaran Besar

Semua ransomware — dari yang canggih sampai yang script kiddie — punya pola yang sama:

1. Masuk ke sistem — via phishing, RDP brute force, exploit, atau download drive-by.
2. Establish persistence — memastikan dia tetap jalan meskipun komputer restart.
3. Generate kunci enkripsi — ini langkah paling kritis.
4. Enumerasi file — mencari file-file yang akan dienkripsi.
5. Enkripsi file — proses utama.
6. Tampilkan ransom note — minta tebusan.
7. Komunikasi dengan C2 (opsional) — mengirim kunci enkripsi ke server attacker.

Mari kita bedah satu per satu, terutama langkah 3-5 yang paling teknis.

Algoritma Enkripsi yang Dipakai Ransomware

Simetris vs Asimetris

Ransomware modern biasanya pakai hybrid encryption: kombinasi simetris dan asimetris. Kenapa? Karena masing-masing punya kelebihan dan kekurangan.

Cara Kerja Hybrid Encryption pada Ransomware:

1. Ransomware generate random AES key (kunci simetris) — ephemeral, sekali pakai.
2. File-file korban dienkripsi menggunakan AES key ini. (Cepat!)
3. AES key itu sendiri dienkripsi menggunakan RSA public key milik attacker. (AES key-nya kecil — cuma 128-256 bit — jadi RSA cukup cepat).
4. Hasil enkripsi: file terenkripsi + AES key terenkripsi (disimpan di file header, registry, atau dikirim ke C2).
5. Untuk decrypt: butuh RSA private key yang cuma dimiliki attacker.

Ini kenapa lo nggak bisa decrypt tanpa kunci: AES key yang dipakai untuk enkripsi file sudah dienkripsi lagi dengan RSA. Tanpa RSA private key, lo nggak bisa dapetin AES key-nya.

Di Mana Kunci Disimpan?

Ini pertanyaan kunci (pun intended) dalam analisis ransomware. Kalau lo bisa nemuin di mana kunci disimpan, lo mungkin bisa decrypt.

Tempat Penyimpanan Kunci yang Umum:

1. File Header

Beberapa ransomware menyimpan encrypted AES key di header setiap file terenkripsi. Formatnya misalnya:

[ENCRYPTED_AES_KEY_256_BYTES] [ENCRYPTED_FILE_CONTENT]

Kalau lo capture traffick-nya dan nemuin RSA private key... lo bisa ekstrak AES key dari file header dan decrypt.

2. Registry

Beberapa ransomware menyimpan key material di registry. Lokasi umum:

HKLM\SOFTWARE\Microsoft\[RandomName]\KEY
HKCU\Software\[RandomName]\DATA

3. File Terpisah

Beberapa ransomware membuat file konfigurasi terpisah (.key, .enc, .config) yang berisi encrypted AES key atau informasi dekripsi.

4. C2 Server

Ransomware modern sering langsung mengirim AES key ke C2 server attacker. Begitu key sampai di server attacker, key lokal dihapus. Ini bikin decrypt lokal jadi mustahil.

5. Embedded

Ransomware simpan key di dalam binary-nya sendiri. Ini yang paling lemah — karena kalau researcher bisa reverse-engineer binary-nya, dia bisa ekstrak key-nya.

Jenis-Jenis Enkripsi Ransomware

1. Full File Encryption

Seluruh isi file dienkripsi. File asli hilang, diganti file terenkripsi. Ini yang paling umum (WannaCry, LockBit, Conti).

Kelebihan (untuk attacker): korban nggak bisa recover data tanpa decryptor.
Kekurangan: proses enkripsi lambat untuk file besar.

2. Partial Encryption

Cuma sebagian file yang dienkripsi — misalnya 1MB pertama dan 1MB terakhir. Ini jauh lebih cepat.

Contoh: DarkSide (yang nyerang Colonial Pipeline) pakai partial encryption. File besar tetap bisa terbuka sebagian, tapi konten utamanya rusak.

3. Sparse Encryption

Cuma blok-blok tertentu yang dienkripsi (misal: setiap blok ke-16). Bahkan lebih cepat, tapi file masih mungkin bisa direcover sebagian.

4. Intermittent Encryption

Enkripsi bergantian: blok 1 dienkripsi, blok 2 tidak, blok 3 dienkripsi, dst. Ini untuk mempercepat enkripsi sambil tetap bikin file nggak bisa dibaca.

Teknik ini makin populer karena ransomware modern mengutamakan kecepatan — mereka pengen enkripsi sebanyak mungkin file sebelum terdeteksi.

Analisis Ransomware di Lab

Lo mau analisis ransomware di sandbox? Ini yang harus lo perhatikan:

Sebelum Menjalankan:

1. Siapkan file dummy — bikin ratusan file dengan berbagai ekstensi: .docx, .pdf, .jpg, .xlsx, .pptx, .txt. Letakkan di berbagai folder: Desktop, Documents, Downloads, network share (simulasi).

2. Catat hash setiap file dummy — supaya lo bisa verifikasi: apakah file berubah? File mana yang dienkripsi?

3. Siapkan fake network drive — ransomware modern juga nyerang network share. Bikin shared folder di VM kedua.

Setelah Menjalankan (2-5 menit):

1. Cek file dummy — ekstensinya berubah? Ukurannya berubah? Bisa dibuka?
2. Cek ransom note — isinya apa? Nama grup ransomware? Alamat Bitcoin/Monero? Ada ID korban?
3. Cek entropy file — file terenkripsi punya entropy tinggi (mendekati 8 bits per byte). Tools: ent, atau cek di pestudio.
4. Cek registry — ada key baru?
5. Cek network traffic — ransomware kirim data ke mana?
6. Cek proses — ransomware masih jalan? Nama prosesnya apa?
7. Cek scheduled tasks / services — persistence mechanism apa yang dipasang?

Alat Bantu Analisis:

• ProcMon — lihat aktivitas file system: CreateFile, WriteFile, DeleteFile (ransomware sering hapus original setelah enkripsi).
• Wireshark / FakeNet-NG — tangkap traffic ke C2.
• Regshot — bandingkan registry sebelum-sesudah.

Mencari Kelemahan Ransomware

Nggak semua ransomware perfect. Ada beberapa kelemahan yang bisa dieksploitasi:

1. Kunci Tertanam (Embedded Key)

Kalau ransomware simpan kunci di binary-nya, lo bisa ekstrak dengan tools seperti FLOSS atau binwalk, atau dengan reverse engineering di Ghidra.

2. Algoritma Lemah

Ransomware buatan script kiddie kadang pakai algoritma sederhana (XOR, base64, Caesar cipher). Atau pakai AES tapi dengan mode ECB (Electronic Codebook) — di mana pattern data bisa kelihatan. Atau pakai hardcoded IV (Initialization Vector).

3. Kesalahan Implementasi

• Seed random number generator yang predictable (misal: srand(time(NULL))).
• Kunci diturunkan dari informasi yang bisa ditebak (hostname, username, volume serial).
• Kunci disimpan di file temporary yang nggak dihapus dengan aman.

4. Decryptor Bocor

Kadang-kadang, decryptor ransomware bocor ke publik — entah karena server C2 disita penegak hukum, atau karena attacker-nya ditangkap. Selalu cek:

• No More Ransom — kumpulan decryptor gratis.
• ID Ransomware — identifikasi ransomware dan cari decryptor.
• Emsisoft Decryptor Tools — berbagai decryptor gratis.

Teknik Lanjutan: Menganalisis Enkripsi dengan Ghidra

Kalau lo udah nyaman dengan Ghidra, lo bisa menganalisis rutin enkripsi ransomware:

1. Cari import crypto — cari CryptEncrypt, CryptDecrypt, CryptGenKey, CryptImportKey (Windows CryptoAPI) atau fungsi dari library seperti OpenSSL.

2. Cari konstanta crypto — AES punya S-box yang khas (bisa di-search di binary). RSA punya konstanta matematika tertentu.

3. Ikuti flow kunci — dari CryptGenKey → key disimpan di mana? Dienkripsi pakai apa?

4. Analisis algoritma custom — ransomware canggih sering punya custom crypto. Di sini skill RE lo beneran diuji.

Checklist Analisis Ransomware

• Identifikasi jenis ransomware (cek ransom note, ekstensi file, hash di VirusTotal)
• Setup sandbox dengan file dummy berbagai tipe dan folder
• Capture baseline: file list + hash, registry snapshot, running processes
• Jalankan ransomware (dengan FakeNet-NG menyala)
• Amati: ekstensi file berubah? Ransom note muncul? Ada network traffic?
• Ambil snapshot pasca: registry, file list, processes
• Analisis network capture: ada C2 communication? Data apa yang dikirim?
• Cek di No More Ransom — apakah ada decryptor yang tersedia?
• Kalau nggak ada decryptor: analisis algoritma enkripsinya — ada kelemahan?
• Dokumentasi IOCs: hash, IP C2, ekstensi file, email attacker, alamat crypto

Penutup

Ransomware adalah musuh yang terus berevolusi. Dulu cuma encrypt file, sekarang double extortion (encrypt + ancam bocorin data). Dulu pakai AES sederhana, sekarang hybrid encryption dengan elliptic curve cryptography. Dulu amatiran, sekarang ada ransomware-as-a-service (RaaS) yang bikin siapa aja bisa jadi operator ransomware.

Tapi dengan pemahaman yang dalam tentang cara kerjanya, lo bisa:

• Mendeteksi lebih cepat (dari pattern enkripsi yang aneh di file system).
• Merespons lebih efektif (dari IOCs yang lo temukan).
• Kadang-kadang — meskipun jarang — nemuin cara decrypt tanpa bayar.

Di artikel berikutnya, kita bakal bahas teknik obfuscation malware — gimana malware menyembunyikan diri, dan gimana lo sebagai analyst bisa mengungkapkannya. Dari XOR sederhana sampai custom encryption yang kompleks. Stay tuned!

Kalau lo nemu ransomware dan bingung harus ngapain → Kontak. Cek juga Malware & Analisis untuk artikel lainnya.

Stay safe — dan backup data lo sekarang juga.

Koleksi Decryptor Tools

Berikut daftar lengkap tools dan resource untuk decrypt ransomware yang bisa lo bookmark:

Decryptor Tools Gratis:

• No More Ransom — Inisiatif gabungan Europol, Kaspersky, McAfee, dan lainnya. Punya repository decryptor terbesar di dunia. Upload ransom note atau sample file terenkripsi, dan tool mereka akan mengidentifikasi ransomware serta menyediakan decryptor kalau tersedia.

• Emsisoft Decryptor Tools — Emsisoft punya puluhan decryptor gratis untuk berbagai ransomware family: STOP/Djvu, Dharma, Phobos, dan masih banyak lagi.

• ID Ransomware — Upload ransom note atau sample file terenkripsi. Tool ini akan mengidentifikasi ransomware family yang menyerang lo. Nggak selalu menyediakan decryptor, tapi setidaknya lo tau siapa musuhnya.

• Avast Free Decryptors — Avast punya decryptor untuk ransomware family tertentu.

• Kaspersky Ransomware Decryptors — Koleksi decryptor dari Kaspersky.

Cara Menggunakan Decryptor:

1. Identifikasi ransomware family (pakai ID Ransomware atau cek ekstensi file).
2. Cari decryptor yang sesuai di resource di atas.
3. BACA PETUNJUK DENGAN TELITI. Setiap decryptor punya cara pakai berbeda.
4. Backup file terenkripsi dulu sebelum decrypt. Kalau decryptor gagal dan merusak file, lo masih punya backup.
5. Jalankan decryptor sesuai instruksi.

Kalau Nggak Ada Decryptor:

Jangan putus asa. Kadang decryptor muncul berbulan-bulan setelah serangan — ketika penegak hukum menyita server C2 atau menangkap operator ransomware. Simpan file terenkripsi dengan aman. Cek berkala resource di atas untuk update decryptor baru.

Yang Nggak Boleh Lo Lakukan:

• ❌ Jangan bayar tebusan tanpa opsi lain (dan konsultasi hukum).
• ❌ Jangan hapus file terenkripsi — siapa tau decryptor muncul nanti.
• ❌ Jangan jalankan tools "decryptor" dari sumber nggak jelas — bisa jadi malware lagi.

Itu dia senjata lo melawan ransomware. Simpan link ini baik-baik. Suatu hari lo atau orang yang lo bantu mungkin akan sangat membutuhkannya.

Strategi Pemulihan Kalau Decryptor Tidak Tersedia

Kalau lo udah cek semua resource decryptor tapi nggak ada yang cocok, jangan panik. Ini beberapa strategi lanjutan yang bisa dicoba:

1. Volume Shadow Copy — Windows punya fitur Volume Shadow Copy yang otomatis bikin snapshot file. Beberapa ransomware mencoba menghapus shadow copy — tapi kadang gagal. Coba: vssadmin list shadows di command prompt. Kalau ada shadow copy yang tersisa, lo bisa restore file dari situ.

2. File Recovery Tools — Beberapa ransomware menghapus file asli setelah enkripsi. File yang "dihapus" sebenarnya masih ada di disk sampai ditimpa. Tools seperti Recuva, TestDisk, atau PhotoRec bisa recover file yang dihapus — asalkan belum ditimpa. Tapi JANGAN install tools ini di drive yang sama dengan file terenkripsi (lo bisa nimpa data). Gunakan bootable USB atau pasang drive ke komputer lain.

3. Forensic Data Recovery — Kalau data sangat kritis, pertimbangkan pakai jasa profesional forensik digital. Mereka punya tools dan expertise untuk recover data dari berbagai skenario — termasuk partial encryption. Biayanya mungkin mahal, tapi kalau data lo worth it, ini opsi yang valid.

4. Negosiasi (Last Resort) — Gue udah bilang jangan bayar. Tapi kalau semua opsi sudah habis dan dampaknya sangat parah, beberapa organisasi memutuskan negosiasi. Kalau lo harus ke sini: pakai jasa negosiator profesional (biasanya dari cybersecurity insurance atau incident response firm), jangan negosiasi sendiri, dan konsultasikan dengan penasihat hukum tentang legalitas pembayaran.