Cyberthreat.id – Perusahaan keamanan siber Trustwave merilis perangkat lunak gratis yang bisa digunakan oleh korban ransomware BlackByte untuk mendekripsi dan memulihkan file yang terkunci.

Decryptor gratis itu diunggah di platform GitHub sejak Jumat (15 Oktober 2021) dan bekerja dengan mengeksploitasi kesalahan desain dalam enkripsi ransomware, demikian dikutip dari The Record, diakses Selasa (19 Oktober).

Menurut Trustwave, decryptor mengotomatiskan proses membaca kunci mentah dari file forest.png, kemudian menghitung kunci dekripsi yang diperlukan untuk memperbaiki dan memulihkan file korban.

Dalam analisisnya, peneliti mengatakan, enkripsi ransomware BlackByte terjadi ketika geng tersebut mengunduh file gambar palsu bernama forest.png di komputer korban. File ini berisi kunci kriptografi “mentah” yang akan digunakan ransomware untuk mendapatkan kunci untuk mengenkripsi file korban. Selanjutnya, juga membuat kunci akses bagi korban agar  bisa mengakses portal bawah tanah untuk bernegoisasi terkait uang tebusan.

“Proses ini agak sederhana dibandingkan dengan enkripsi yang lebih kompleks dan lebih aman yang digunakan oleh geng ransomware lain,” tutur peneliti.

Merespons hal itu, geng BlackByte pada Senin (18 Oktober) mengunggah komentar di portal web bawah tanah mereka dan mengatakan agar tak mempercayai decryptor tersebut.

Menurut geng tersebut, perusahaan yang menggunakan decryptor dengan kunci yang salah, justru akan merusak file.

“Kami tidak menyarankan Anda untuk menggunakannya karena kami tidak menggunakan 1 kunci saja. Jika Anda akan menggunakan dekripsi yang salah untuk sistem Anda, Anda dapat merusak segalanya, dan Anda tidak akan dapat memulihkan sistem Anda lagi. Kami hanya ingin memperingatkan Anda, jika Anda memutuskan untuk menggunakannya, risiko Anda tanggung sendiri,” tulis BlackByte.

Penemuan kelemahan pada enkripsi itu bukanlah kejutan karena geng tersebut termasuk baru, sehingga alat enkripsinya bisa memiliki banyak bug alias kelemahan.

BlackByte termasuk kelompok peretas ransomware baru. Mereka pertama kali terlihat beroperasi sekitar akhir September lalu. Aktivitas portal web bawah tanahnya, menurut The Record, juga tidak terlalu aktif, tapi mencantumkan daftar korban yang menolak membayar uang tebusan. Sejauh ini baru delapan korban yang masuk dalam daftar.

Di sisi lain, bantahan yang dirilis oleh geng peretas juga menunjukkan bahwa mereka telah mengetahui kelemahan enkripsi dan kemungkinan besar mereka segera memperbaikinya. Ini sesuatu yang sering terjadi sebelumnya ketika decryptor ransomware dirilis ke publik, tulis The Record.[]