Programer Indonesia Berhasil Bobol Enkripsi Ransomware Akira

Posted on by

Akira merupakan jenis ransomware yang belakangan ini aktif mencari korban. Baru-baru ini, seorang programmer asal Indonesia berhasil membobol enkripsi salah satu varian ransomware Akira. Prestasi yang luar biasa!

Ransomware ini tersedia di berbagai platform dan semakin aktif sejak 2023. Akira sendiri beroperasi dengan model ransomware as a service (RaaS), yang memungkinkan siapa saja—baik pemula di dunia hacking maupun penjahat siber berpengalaman—untuk menggunakannya.

Hingga saat ini, Akira telah menargetkan lebih dari 250 organisasi dan meraup tebusan hingga USD 42 juta, sebagaimana dilaporkan oleh Techspot, Rabu (19/3/2025).

Namun, enkripsi salah satu variannya berhasil ditembus oleh Yohanes Nugroho, seorang programmer asal Indonesia. Ia membagikan temuannya di blog pribadinya. Sebagai informasi, Yohanes sebelumnya juga pernah melakukan reverse engineering terhadap ransomware yang menyerang Pusat Data Nasional Sementara (PDNS) 2 pada Juli 2024.

Kali ini, ia menciptakan decryptor untuk membuka data yang telah dikunci oleh ransomware Akira. Dalam blog Tinyhack, Yohanes menjelaskan bahwa decryptor untuk ransomware Akira versi Linux dibuat setelah mendapat permintaan bantuan dari seorang teman. Saat melakukan analisis, ia menemukan bahwa Akira memanfaatkan waktu sebagai seed dalam pembentukan kunci enkripsi yang sangat kuat.

Ransomware ini menggunakan metode enkripsi dinamis dengan kunci unik untuk setiap file, yang dibuat berdasarkan empat seed timestamp berbeda dengan akurasi hingga nanodetik. Kunci ini kemudian dipecah menjadi 1.500 bagian melalui fungsi SHA-256, lalu dienkripsi dengan algoritma RSA-4096 sebelum ditambahkan di bagian akhir setiap file yang terenkripsi.

Proses enkripsi yang kompleks ini membuat dekripsi menjadi tantangan besar. Yohanes bahkan harus menyewa sejumlah kartu grafis kelas atas untuk mempercepat perhitungan.

“Saat memulai proyek ini, saya hanya memiliki dua RTX 3060. Salah satunya digunakan di PC Windows saya, jadi saya hanya bisa memakai satu GPU di Mini PC yang terhubung secara eksternal melalui Oculink. Untuk meningkatkan performa, saya memutuskan membeli RTX 3090. Di Thailand, harganya masih lebih masuk akal dibandingkan RTX 4090 atau model kelas atas lainnya,” tulis Yohanes, yang diketahui berdomisili di Chiang Mai, Thailand.

Namun, bahkan dengan RTX 3090, proses brute force masih terlalu lambat. Akhirnya, ia memanfaatkan layanan cloud seperti RunPod dan Vast.ai, menyewa 16 unit RTX 4090 di cloud, dan berhasil menyelesaikan prosesnya dalam 10 jam.

Menurut Yohanes, RTX 4090 adalah pilihan ideal untuk mendekripsi file yang terinfeksi ransomware Akira, karena memiliki jumlah CUDA core yang tinggi dengan biaya sewa yang relatif terjangkau.

Hasil penelitiannya kemudian dibagikan secara publik dengan lisensi open-source. Namun, Yohanes tetap memberikan catatan penting di akhir postingannya.

“Sebagian besar kasus ransomware, sekitar 99,9%, tidak bisa diselesaikan tanpa kunci enkripsi yang asli,” ujarnya.

Meski begitu, ada kemungkinan bagi korban ransomware yang beruntung untuk menemukan celah guna memulihkan data mereka. Namun, proses ini bisa memakan waktu yang cukup lama.

“Saya awalnya mengira hanya butuh satu minggu, tetapi pada akhirnya menghabiskan hampir tiga minggu sebelum kami berhasil menyelamatkan data VM sepenuhnya,” tambahnya.

Ia juga mengungkapkan bahwa belum dapat dipastikan apakah ransomware yang berhasil ia dekripsi benar-benar varian yang sama dengan ransomware Akira yang dibahas di salah satu thread Reddit.