Peneliti Temukan Kunci WannaCry untuk Windows XP

KOMPAS.com - Serangan WannaCry yang mulai menyebar luas pekan lalu membuat panik. Ancaman tersebut mengunci data dalam komputer dengan enkripsi dan meminta tebusan untuk data yang “disandera” tersebut.

Hingga kini masih belum ada solusi pasti untuk data komputer yang kadung dienkripsi oleh ransomware tersebut. Namun, peneliti keamanan Adrien Guinet dari Quarkslab memberikan secercah harapan, khususnya bagi para pengguna Windows XP.

Guinet mengklaim telah menemukan tool untuk membuka data (decrypt) dengan menarik “kunci” enkripsi yang ternyata masih tersimpan di memori komputer setelah WannaCry mengenkripsi data.

“Kalau Anda beruntung, Anda bisa mengakses bagian dari memori dan menciptakan kembali kunci (untuk melakukan dekripsi),” ujar Guinet dalam nota yang mendampingi tool bernama “Wannakey” itu.

Sebagaimana dirangkum KompasTekno dari ArsTechnica, Jumat (19/5/2017), Wannakey bekerja dengan memanfaatkan bug di Microsoft Cryptographic Application program Interface yang dimanfaatkan oleh WannaCry dalam melancarkan aksinya.

Sang ransomware menciptakan dua kunci di komputer pengguna: sebuah “public key” untuk mengunci (enkripsi) file dan sebuah “private key” untuk membukanya (dekripsi), apabila korban membayar tebusan.

Supaya korban tak membuka sendiri data yang dikunci, WannaCry kemudian ikut mengenkripsi private key dimaksud. Versi Private Key yang belum dienkripsi seharusnya dihapus oleh Windows, tapi ini tidak terjadi di Windows XP karena bug sehingga bisa diambil oleh tool Wannakey.

Guinet mengklaim telah berhasil mencoba tool Wannakey untuk mengembalikan data di komputer berbasis WIndows XP tanpa membayar tebusan. Syaratnya, karena kunci dekripsi tadi tersimpan di memori volatile, komputer tidak boleh di-restart sebelumnya karena isi memori akan terhapus.

Kendati demikian, Guinet mengaku belum melakukan pengujian secara ekstensif di sejumlah besar komputer Windows XP. Dia pun tak menjamin kunci enkripsi data akan bisa dibuka setiap waktu.

“Harap diperhatikan juga bahwa Anda butuh keberuntungan (isi memori belum direalokasi dan dihapus) agar bisa membuka kunci. Ini juga mungkin tak selalu berhasil di tiap kesempatan,” imbuh Guinet.

Tool Wannakey besutan Guinet bisa diperoleh lewat repository Github di tautan berikut.

Baca: Cerita Dua Remaja Temukan Cara Stop Penyebaran WannaCry

Luar biasa apes

Tak jelas berapa jumlah komputer Windows XP yang terinfeksi WannaCry. Microsoft selaku empunya sistem operasi bergegas merilis patch darurat untuk menangkal serangan WannaCry di Windowx XP.

Peneliti dari Cisco juga menerangkan bahwa setidaknya komputer Windows XP dengan prosesor 64-bit rawan menjadi korban worm WannaCry yang mulai menyebar pada Jumat pekan lalu.

Namun, ada juga sebagian peneliti keamanan yang mengatakan bahwa Windows XP sebenarnya tak terdampak oleh worm WannaCry, meski ransomware tersebut bisa saja berjalan di Windows XP apabila dikopi secara manual.

Pembuat WannaCry sendiri terkesan amatiran dalam soal kunci-mengunci data dan meminta tebusan. Hingga awal pekan ini, sang pembuat ransomware dilaporkan baru mendapat tebusan senilai 55.000 dollar AS dari para korbannya di seluruh dunia.

Angka itu jauh lebih rendah dibandingkan tebusan yang dikumpulkan ransomware lain, misalnya Angler yang meraup 60 juta dollar AS per tahun sebelum dimatikan pada 2015.

Pembuat WannaCry diketahui meminta tebusan sebesar 300 hingga 600 dollar AS untuk data yang dikunci di tiap-tiap komputer korban.

Craig Williams, seorang peneliti keamanan cyber dari tim Talos Cisco, berpendapat bahwa WannaCry sebenarnya luar biasa apes dalam hal pengumpulan tebusan.

“Tingkat kerusakan, publikasi, dan perhatian aparat hukum yang ditariknya sangat tinggi. Lalu margin profitnya mungkin yang paling kecil dari semua kampanye ransomware yang kami lihat,” ujar Williams, sebagaimana dirangkum KompasTekno dari Wired.

Saking kecilnya keuntungan yang dihasilkan WannaCry beberapa pihak mulai berspekulasi bahwa tebusan yang diminta si ransomware sebenarnya hanya kedok saja. Tujuan yang sebenarnya, menurut mereka, boleh jadi adalah menimbulkan kerusakan sebanyak mungkin.

Baca: Beda Ransomware WannaCry dengan Virus Komputer Jadul

Amatiran