Decrypting WannaCry Infected files with Wanakiwi

Ransomware WannaCry menjadi heboh di seluruh dunia karena malware tersebut telah menyerang kurang lebih 150 negara. Sasaran penyerangannya Rumah sakit, kantor pemerintahan dan banyak industri lainnya. Sekitar 170an tipe file yang dapat dienkripsi dan harus bayar $300 – $ 120 melalui BitCoin.

Beberapa hari kemudian, security researcher Adrien Guinet dari perusahan high-end Cybersecurity Quarkslab yang berbasis di Perancis mengatakan bahwa ada kerentanan di Windows file encryption subsystem, pada saat melakukan penghapusan private key yang digunakan enkripsi dari memori yang tidak benar. Sehingga dapat berupaya mengubah kerentanan tersebut menjadi sebuah tools yang mampu menarik Private key kemudian mengubahnya menjadi format yang sesuai.  Researcher tersebut menulis tools WannaKey untuk mendekripsi file infected namun harus recovery file secepat mungkin sebelum komputer direboot dan proses WannaCry tidak tertimpa oleh proses lain. Memindai memori proses WannaCry untuk memulihkan bilangan prima(Prime Number) yang tidak dibersihkan selama CryptReleaseContext(). Sayangnya tools tersebut hanya berjalan di Windows Xp. https://github.com/aguinet/wannakey

Penjelasan tentang apa itu CryptReleaseContext “The CryptReleaseContext function releases the handle of a cryptographic service provider (CSP) and a key container. At each call to this function, the reference count on the CSP is reduced by one. When the reference count reaches zero, the context is fully released and it can no longer be used by any function in the application.
An application calls this function after finishing the use of the CSP. After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.” https://msdn.microsoft.com/en-us/library/windows/desktop/aa380268(v=vs.85).aspx

WannaKey tidak berhasil dekrip infected file di Windows 7 kemudian security researcher Benjamin Delpy dan Matt Suiche melanjutkan metode dekripsi Adrien dengan WanaKiwi. PID (Id Proses) adalah parameter opsional. Secara default, wanakiwi secara otomatis mencari proses wnry.exe atau wcry.exe sehingga parameter PID ini tidak diperlukan. Namun dalam kasus, proses utama memiliki nama yang berbeda parameter ini dapat digunakan sebagai parameter input. https://github.com/gentilkiwi/wanakiwi

Berikut ini video yang saya buat ketika berhasil dekrip infected file di Windows 7 dengan Wannakiwi
http://www.youtube.com/watch?v=N1j5i-kpOe4

Posted in SECURITY | Leave a comment

System program problem detected error di Ubuntu 14.04

Error ini terjadi setiap kali saya hidupin dan restart sistem ubuntu 14.04. Karena sangat menganggu saya mencoba cari di google dan setelah ketemu linknya di http://www.binarytides.com/ubuntu-fix-system-program-problem-error/ kemudian saya ikutin langkah-langkahnya berhasil menghilangkan error tersebut. Error yang muncul setiap kali komputer dihidupkan seperti berikut ini:

Untuk menghilangkan error tersebut, tinggal edit file apport yang ada di /etc/default
kemudian ganti parameter enabled=1 menjadi enabled=0. Setelah itu simpan dan restart  apport.

Posted in LINUX | Leave a comment

Seminar Web Security & Digital Forensics di Kampus UNSIKA Karawang

Fasilkom Unsika (Fakultas Ilmu Komputer Universitas Singaperbangsa Karawang) gelar seminar nasional dan workshop Web Security dan Digital Forensik, Rabu (03/05/2017) di Aula Unsika. Acara ini digelar oleh BEM (Badan Eksekutif Mahasiswa) Fasilkom Unsika.

“Maraknya hacker membuat semua perusahaan resah. Pengamanan dan pengetahuan tentang IT perlu ditingkatkan. Hal ini melatarbelakangi BEM Fasilkom Unsika menggelar seminar,” kata Ketua BEM Fasilkom Unsika Imam Najmudin kepada KORAN BERITA (Grup Tvberita.co.id)

Pemateri pertama adalah Sulhaedir yang membawakan materi tentang Web Security. Sedangkan saya sebagai pemateri kedua membawakan materi tentang Digital Forensic. Dalam sesi demo saya melalukan Memory forensic terhadap komputer yang disimulasikan sebagai korban hacking… Image RAM yang saya akuisisi dan analisa bisa download di sini https://mega.nz/#!CcEQUYrT!q9MEyTvYjKZ-c2fdAytUltRVMwQozzKVm1bUcU3rJfk

Berikut beberapa foto acara tersebut..

Berita lain : https://tvberita.co.id/index.php/news/nasional/item/4737-fasilkom-unsika-gelar-seminar-web-security-dan-forensik

Posted in Acara, Berita, DIGITAL FORENSICS | Leave a comment

Tips untuk tetap aman dari para hacker Facebook

Saya sengaja menulis tips ini untuk membantu teman-teman yang menjadi korban para hacker Facebook karena ada oknum tertentu yang sengaja melakukan hacking terhadap akun para penguna facebook kemudian digunakan untuk menyebarkan Hoax, meminjam uang orang atas nama pemilik akun, SARA, menyebarkan malware dan informasi-informasi yang merugikan orang lain.

Beriku ini saya share beberapa tips yang biasa digunakan oleh para hacker untuk mengambil alih akun penguna facebook :
1. Jika ada orang mengirimkan sebuah link website ke anda melalui chat facebook, WA, BBM dan lain-lain. Ketika dibuka tampilan sama persis dengan facebook namun URLnya bukan https://www.facebook.com maka itu adalah facebook palsu yang sengaja dibuat oleh para penjahat untuk menjebak anda. Pada saat anda memasukan username dan password maka data anda akan dikirim ke pemilik facebook palsu. Contoh tampilan facebook palsu seperti berikut ini:

2. Jika anda sedang online di WiFi public (Hotel, caffe, Mall, kantor dll), ketika buka https://www.facebook.com namun yang muncul hanya facebook.com tanpa huruf S di akhir http, kemungkinan anda sedang disadap oleh orang.

3. Jangan asal menginstall aplikasi dari Internet dan orang yang anda belum kenal baik karena ada aplikasi tertentu yang sengaja dibuat untuk mencuri data dari komputer, laptop dan HP anda.

4. Jika anda mengunakan email yahoo, pastikan email yahoo yang dipakai untuk facebook tetap aktif. Jika email tersebut sudah mati, para penjahat dapat mendaftar ulang email anda kemudian digunakan untuk reset password facebook anda.

5. Jika anda mengunakan Gmail, pastikan email anda tidak ada titik ditengah(contoh: abrao.ximenes@gmail.com) karena orang yang mengunakan email abraoximenes@gmail.com dapat reset password facebook anda.

6. Hati-hati meminjamkan HP anda ke orang(Note: biasanya orang terdekat) karena orang tersebut dapat menipu pusat facebook mengirimkan security code ke HP anda, dia akan mengambil kode tersebut kemudian dipakai untuk menganti password facebook anda.

7. Hati-hati mengunakan komputer teman atau orang lain karena kadang mereka sengaja mengintal aplikasi keylogger di komputer tersebut. Jika anda mengunakannya maka apapun yang anda ketik di komputer tersebut akan terekam semua.

Note: Semua tips di atas berdasarkan pengalaman saya di lapangan. Jika ada yang ingin bertanya atau berbagi ilmu tentang IT security, Hacking dan Digital Forensics. Silakan follow instagram @abraoximenes07

Posted in SECURITY | Leave a comment

Seminar Web Security & Digital Forensics di Cikarang

Pada tanggal 12 Maret 2017, Sinau Academy mengadakan Seminar tentang Web Security & Digital Forensics di Hotel Celecton Cikarang. Pada seminar tersebut saya membawakan materi tentang Digital Forensic baik untuk kebutuhan penegakan hukum maupun kebutuhan di perusahan. Pada sesi demo, saya mendemokan bagaimana melakukan attacking terdapat sistem Windows, kemudian capture RAM komputer tanget untuk melakukan Memory forensics.
Materi Web security dibawakan oleh Sulhaidir yang membahas tentang Teknologi Web dan kelemahannya serta demo web hacking.


Berita lain: http://www.teknopedia.asia/2017/02/soroti-keamanan-di-dunia-maya-sinau-academy-gelar-seminar-web-security/

Posted in Acara, DIGITAL FORENSICS, HACKING | Leave a comment

Seminar Open Source for Developer di Karawang

Pada tanggal 5 Maret 2017 kemarin, startup Sinau Academy berkerja sama dengan kampus STMIK KHARISMA mengadakan Seminar Open Source for Developer.

Di seminar tersebut saya berbagi tentang asal mula open source, filosofi free software dan open source software, perbedaan FSF dan OSI, Open Source developer tools, Multimedia/Design, Security di Linux, Hirarki Linux, Linux Desktop Environment, cara mendapatkan Linux, install linux, pengoperasian dan sedikit demo tentang Hacking mengunakan Linux.

Mas Iesa share tentang pengunaan Linux untuk membangun aplikasi Desktop, Mobile, Web dan lain-lain…

Posted in Acara, LINUX | Leave a comment

Superblock last mount time is in the future di Kali Linux

Masalah Superblock last mount time is in the future ini terjadi setelah dual boot dengan OS Windows. Pada saat booting, muncul tulisan seperti screenshot di bawah ini:

img_20161210_021854Untuk solve masalah itu, tinggal edit file /etc/default/rcS kemudian cari baris
# automatically repair filesystems with inconsistencies during boot
#FSCKFIX=no
kemudian hilangkan tanda # dan ganti FSCKFIX=no menjadi FSCKFIX=yes
123

Posted in KALI LINUX | 1 Comment