Ransomware Pusat Data Nasional (PDN) Indonesia Dapat Dikembalikan - ZsN Paper

Ransomware Pusat Data Nasional (PDN) Indonesia akhirnya dapat dikembalikan (Recover).

Pada tanggal 7 Juli 2024, seorang praktisi Reverse Engineering asal Indonesia berhasil menemukan BUG pada varian Ransomware yang menyerang Pusat Data Nasional (PDN). Temuan ini memberikan solusi untuk mengatasi Ransomware varian Babuk yang mengenkripsi server PDN. Untuk mengetahui lebih lengkap tentang Write Up Recovery Ransomware Babuk ini dapat dibaca pada blog pribadinya yang berjudul Recovery varian Babuk PDN tanpa key.

Ransomware Babuk

Source code babuk sudah bocor di internet sejak beberapa tahun lalu. Sudah ada banyak turunan malware babuk, karena mudah sekali mengcompilenya. Varian yang dipakai menyerang PDN hanya berbeda di extensionnya (.encrptd) dan keynya, sisanya sama.

ESXI

Ransomware babuk mengenkripsi virtual machine di ESXI. Apa itu ESXI? Data apa yang dienkrip oleh Babuk? dan bagaimana recoverynya? ESXI adalah hypervisor (software untuk menjalankan virtual machine) dari Broadcom.

Enkripsi Ransomware Babuk

Bagaimana babuk mengenkripsi file? tidak seperti ransomware lockbit yang stealth, misterius, dan bisa jalan otomatis di latar belakang, penyerang perlu masuk dulu ke ESXI lalu menjalankan enkriptornya secara manual.

Cara masuknya biasanya hanya dua: via bug ESXI (jika belum dipatch), via password (jika tahu passwordnya). Setelah masuk, penyerang menjalankan enkriptor dari command line. Seperti ini.

Recovery Ransomware Babuk tanpa Key

Berikut ini adalah cara untuk melakukan recovery data yang terkena Ransomware Babuk tanpa Key

Linux

Pada varian Linux, kita perlu melakukan: testdisk, lalu write partition, dan kemudian partisinya langsung bisa dimount, jalankan command berikut:

kpartx -av test.vmdk #lihat outputnya

mount /dev/mapper/loopXpY /media #sesuaikan

Kemudian dapat menjalankan testdisk untuk melihat superblock yang akan kita recovery. Jika superblock sudah muncul, maka langkah selanjutnya adalah kita ikuti command yang muncul pada terminal.

Kemudian jalankan command berikut:

sudo kpartx -av file.encrptd #nama file yang diencrypt
sudo fsck.ext4 -y -b {superblock} -B {blocksize} /dev/mapper/loop1p1


Setelah berhasil menjalankan command diatas, maka file akan ter-recovery seperti gambar dibawah, dan masuk kedalam direktori lost+found

Windows

Pada server windows yang umum digunakan, yaitu Windows server 2016, Windows Server 2019, dan Windows server 2022 cara yang digunakan untuk melakukan Recovery Data cukup mirip dengan OS Linux.

Windows Server 2016 dan Windows Server 2019

Dapat menggunakan Testdisk bisa dipakai untuk recover partisi, dan ekstrak partisi terakhir. Filesystem NTFS akan utuh.

 

Windows Server 2022

Testdisk tetap  dapat dilakukan, tetapi Filesystem NTFS akan corrupt.

Sekian Write Up dari bug Ransomware Babuk yang dapat direcovery tanpa menggunakan Key.

Untuk lebih jelasnya dapat langsung melihat ditautan berikut: Recovery varian Babuk PDN tanpa key.

Ide penulisan dan gambar diambil dari artikel Recovery varian Babuk PDN tanpa key.

Keyword: Ransomware Babuk, PDN, Pusat Data Nasional, Ransomware PDN, Recover PDN, Ransomware Pusat Data Nasional, Recover Pusat Data Nasional

http://zsn-paper.blogspot.com