Jakarta – Seorang programer asal Indonesia bernama Yohanes Nugroho berhasil menjebol enkripsi ransomware Akira, salah satu varian ransomware yang terkenal aktif menyerang berbagai organisasi sejak tahun 2023. Yohanes mempublikasikan temuannya ini di blog pribadinya, Tinyhack.
Ransomware Akira dikenal sebagai ransomware as a service yang memungkinkan siapa saja, mulai dari script kiddies hingga penjahat siber profesional, menggunakannya. Hingga kini, ransomware ini telah menelan 250 korban dari berbagai organisasi dan meraup tebusan hingga USD 42 juta.
Yohanes Nugroho, yang sebelumnya juga berhasil melakukan reverse engineering terhadap ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 pada Juli 2024, kini mengembangkan decryptor untuk ransomware Akira versi Linux.
Menurut Yohanes, proses dekripsi tersebut dilakukan setelah ia dimintai bantuan oleh seorang temannya. Ia menemukan bahwa Akira menggunakan waktu sebagai seed dalam membuat kunci enkripsi yang sangat kuat. Proses enkripsi ini bersifat dinamis dengan kunci yang unik untuk setiap file, menggunakan empat seed timestamp berbeda dengan akurasi hingga nanodetik.
Setelah itu, kunci tersebut dipecah menjadi 1.500 dari fungsi SHA-256 dan dienkripsi menggunakan algoritma RSA-4096 sebelum ditambahkan di akhir setiap file yang terenkripsi.
Proses rumit tersebut membuat Yohanes harus menyewa GPU kelas atas untuk mempercepat proses brute force. Awalnya, ia hanya menggunakan dua RTX 3060 miliknya, tetapi kemudian membeli satu RTX 3090. Namun, RTX 3090 pun belum cukup cepat.
Yohanes akhirnya menyewa 16 RTX 4090 melalui layanan cloud RunPod dan Vast.ai, yang memungkinkannya menyelesaikan proses dekripsi dalam waktu 10 jam. Ia memilih RTX 4090 karena jumlah CUDA core yang tinggi dan biaya sewanya yang relatif terjangkau.
Hasil kerja keras Yohanes kemudian disebarluaskan ke publik dengan lisensi open source. Namun, ia mengingatkan bahwa 99,9% kasus ransomware tidak dapat diselamatkan tanpa kunci enkripsi yang asli.
“Ini membutuhkan waktu lebih lama untuk dipecahkan ketimbang yang saya perkirakan. Saya pikir hanya butuh satu minggu, namun akhirnya menghabiskan waktu hampir tiga minggu sampai kami bisa menyelamatkan data VM secara keseluruhan,” tulis Yohanes.
Ia juga menyatakan bahwa tidak yakin apakah ransomware yang berhasil ia pecahkan tersebut merupakan varian yang sama dengan ransomware Akira yang dibahas di thread Reddit.
