Ransomware Pusat Data Nasional (PDN) Indonesia akhirnya dapat dikembalikan (Recover).
Pada tanggal 7 Juli 2024, seorang praktisi Reverse Engineering asal Indonesia berhasil menemukan BUG pada varian Ransomware yang menyerang Pusat Data Nasional (PDN). Temuan ini memberikan solusi untuk mengatasi Ransomware varian Babuk yang mengenkripsi server PDN. Untuk mengetahui lebih lengkap tentang Write Up Recovery Ransomware Babuk ini dapat dibaca pada blog pribadinya yang berjudul Recovery varian Babuk PDN tanpa key.
Ransomware Babuk
Source code babuk sudah bocor di internet sejak beberapa tahun lalu. Sudah ada banyak turunan malware babuk, karena mudah sekali mengcompilenya. Varian yang dipakai menyerang PDN hanya berbeda di extensionnya (.encrptd) dan keynya, sisanya sama.
ESXI
Ransomware babuk mengenkripsi virtual machine di ESXI. Apa itu ESXI? Data apa yang dienkrip oleh Babuk? dan bagaimana recoverynya? ESXI adalah hypervisor (software untuk menjalankan virtual machine) dari Broadcom.
Enkripsi Ransomware Babuk
Bagaimana babuk mengenkripsi file? tidak seperti ransomware lockbit yang stealth, misterius, dan bisa jalan otomatis di latar belakang, penyerang perlu masuk dulu ke ESXI lalu menjalankan enkriptornya secara manual.
Cara masuknya biasanya hanya dua: via bug ESXI (jika belum dipatch), via password (jika tahu passwordnya). Setelah masuk, penyerang menjalankan enkriptor dari command line. Seperti ini.
Recovery Ransomware Babuk tanpa Key
Berikut ini adalah cara untuk melakukan recovery data yang terkena Ransomware Babuk tanpa Key
Linux
Pada varian Linux, kita perlu melakukan: testdisk, lalu write partition, dan kemudian partisinya langsung bisa dimount, jalankan command berikut:
kpartx -av test.vmdk #lihat outputnya
mount /dev/mapper/loopXpY /media #sesuaikan
Kemudian dapat menjalankan testdisk untuk melihat superblock yang akan kita recovery. Jika superblock sudah muncul, maka langkah selanjutnya adalah kita ikuti command yang muncul pada terminal.
Kemudian jalankan command berikut:
sudo kpartx -av file.encrptd #nama file yang diencrypt
sudo fsck.ext4 -y -b {superblock} -B {blocksize} /dev/mapper/loop1p1
Setelah berhasil menjalankan command diatas, maka file akan ter-recovery seperti gambar dibawah, dan masuk kedalam direktori lost+found
Windows
Pada server windows yang umum digunakan, yaitu Windows server 2016, Windows Server 2019, dan Windows server 2022 cara yang digunakan untuk melakukan Recovery Data cukup mirip dengan OS Linux.
Windows Server 2016 dan Windows Server 2019
Dapat menggunakan Testdisk bisa dipakai untuk recover partisi, dan ekstrak partisi terakhir. Filesystem NTFS akan utuh.
Windows Server 2022
Testdisk tetap dapat dilakukan, tetapi Filesystem NTFS akan corrupt.
Sekian Write Up dari bug Ransomware Babuk yang dapat direcovery tanpa menggunakan Key.
Untuk lebih jelasnya dapat langsung melihat ditautan berikut: Recovery varian Babuk PDN tanpa key.
Ide penulisan dan gambar diambil dari artikel Recovery varian Babuk PDN tanpa key.
Keyword: Ransomware Babuk, PDN, Pusat Data Nasional, Ransomware PDN, Recover PDN, Ransomware Pusat Data Nasional, Recover Pusat Data Nasional
http://zsn-paper.blogspot.com
Post a Comment
Post a Comment