PENCEGAHAN, PENGHAPUSAN DAN DECRYPT DATA USER DARI

RANSOMWARE GANDCRAB DI PT MASSKREDIT PACIFICA RAYA

Moro Aji Pangestu

Politeknik Negeri Jakarta
moro.ajipangestu.tik15@mhsw.pnj.ac.id

Abstrak
malware bernama ransomware telah menjadi sangat populer bagi para penjahat cyber untuk
memeras uang. Malware ini bekerja dengan menggunci file dan membatasi pengguna untuk
mengakses perangkat (komputer, ponsel, dan perangkat IoT) kecuali dengan membayarakan
tebusan yang di minta penyerang. Setiap bulan, para pakar keamanan melaporkan berbagai
bentuk serangan ransomware, Salah satu ransomware yang menghebohkan di tahun 2018 adalah
GandCrab yang dirilis pada akhir Januari 2018. jurnal ini menyajikan cara menghapus dan
mengenksripsi Gandcrab tanpa harus membayar uang tebusan.

Kata Kunci : Ransomware, Gandcrab

Abstract
malware called ransomware has become very popular for cyber criminals to extort money. This
malware works by using files and limiting users to access devices (computers, cellphones, and
IoT devices) except by paying ransom that the attacker asks for. Every month, security experts
report various forms of ransomware attacks. One of the horrendous ransomware in 2018 is
GandCrab which was released at the end of January 2018. This journal presents ways to delete
and encrypt Gandcrab without having to pay a ransom.

Kata Kunci : Ransomware, Gandcrab

I. PENDAHULUAN kembali, dan kembalinya informasi yang hilang,

seperti pada gambar 1.1. Namun demikian, belum
Ransomware adalah nama atau istilah generic dapat dipastikan apakah penyerang benar-benar
untuk semua malware yang melakukan sandra menghilangkan ransomeware atau hanya
data dan meminta uang tebusan kepada user saat membuat virus tersebut tidur (Tanujaya, 2018).
komputer ter- infeksi ransomware(Doevan,
2018). Kelvin COO Masskredit melaporkan Ran- II. TINJAUAN PUSTAKA
somware telah menyusup dan melakukan aksi
yang sangat mengganggu di PT. Masskredit a. Definisi Ransomware
Pacifica Raya, pada tanggal 10 Oktober 2018 dan
mengancam kea- manan data user dengan cara Ransomware merupakan jenis malwae yang
encrypt atau sandra data (Doevan, 2018). paling cepat berkembang dan
Penyerang mencuri data user, menghapus merupakan cyber-threats yang menutup akses
informasi, dan merusak sistem. Se- rangan paling
pengguna kepada sistemnya, baik komputer,
banyak ditemui di bagian divisi operation karena
semua data user masskredit ada di bagian
perangkat digital atau file, sehingga hanya
operation. Untuk mengembalikan data yang telah peretaslah yang memiliki kuasa untuk
di encrypt penyerang memaksa untuk membayar mengembalikan semuanya kedalam keadaan
sejumlah uang untuk mendapatkan kunci decrypt. semula.
penyerang berjanji jika membayar uang sebesar
1200 USD akan memperoleh kembali data-data
yang dicuri dan sistem yang berjalan normal
b. Jenis – Jenis Ransomware
- Filecoder
Filecoder Ransomware adalah benar-benar sudah
trojan yang mengenkripsi file komputer dan
meminta tebusan jika anda ingin mendapatkan
akses dekstop kembali. Jenis ransomware
tersebut dikenal sebagai file Code. Penghapusan
file code ransomware tidak akan mudah karena
ransomware mengenskripsi semua file PC.
- Locky
Locky adalah ransomware yang disebarkan
sebagai dokumen Word berbahaya yang melekat
pada email spam. Email yang membawa
ransomware locky biasanya berpura-pura
memberikan faktur dokumen. Word berbahaya
ini dapat segera mengeksekuasi proses enskripsi
berbahaya ketika macro word diaktifkan. Jika
tidak teks Word ini muncul sebagai file yang
rusak dan judul dokumen ini mengatakan
"Enable Macroif the Encoding is Incorrect"
Sayangnya jika pengguna komputer berusaha
untuk memecahkan kode garis-garis rusak
mencurigakan ini, ia mungkin mengubah
makronya. Akibatnya kode berbahaya yang di
tempatkan pada dokumen Word akan diaktifkan
dan menginstal ransomware locky di komputer
pengguna.
- Criptolocker
Criptolocker merupakan pengembangan dari
filecode yang didistribusikan melalui jaringan
peer-to-peer file-sharing, menyerang sebagai
activation key untuk perangkat lunak populer
seperti Adobe Photoshop dan Microsoft Office.
- CTB locker
CTB locker (Curve To Bitcoin Locker) atau lebih
dikenal sebagai critoni adalah sebuah infeksi
Ransomware yang ditemukan pada pertengahan
juli 2014. Target serangan adalah sebuah infeksi
pemaikai windos termasuk windows XP,
Windows Vista, Windows 7 ,dan Windows 8
c. Definisi GandCrab
GandCrab adalah sebuah ransomware yang
diciptakan oleh sekelompok hacker, yang
menyerang sistem komputer melalui celah
keamanan. Komputer yang terinfeksi malware
atau ransomware tersebut, datanya akan dicuri
dan dikunci (encryption). Komputer yang
terinfeksi malware, akan muncul file notepad
yang memiliki pesan dimana pengguna
diharuskan membuka website dengan Tor
Browser, lalu membuka link untuk mengirimkan
uang sejumlah 4,5 juta – 93 juta tergantung data
dan korban yang di enkripsi, apabila pengguna
ingin datanya dikembalikan. Jika tidak file
mereka yang dicuri akan dihapus.
GandCrab mengeksploitasi celah keamanan di
komputer berbasis Windows mulai dari windows
xp sampai dengan versi terbaru windows yaitu
windows 10 dapat dengan mudah terserangan
GandCrab. Malware ini biasanya dikirimkan ke
komputer pengguna melalui link-link 'beracun',
baik yang tersebar diberagam situs saat pengguna
sedang melakukan browsing ataupun juga
melalui spam yang masuk lewat Email.
d. Sejarah GandCrab
GandCrab mulai menjalankan aksinya pada
Januari 2018, pengembang GandCrab
menggunakan model bisnis RaaS Ransomware as
a Service. Dalam hal ini, pengembang GandCrab
fokus mengembangkan ransomware dan
menyewakannya kepada penyerang yang
notabene tidak memiliki kemampuan teknis yang
tinggi.
Karena itu, GandCrab dikembangkan agar
mudah sekali dioperasikan dan hanya
membutuhkan beberapa klik untuk mengaktifkan
GandCrab. GandCrab merupakan ransomware
pertama yang meminta tebusan dalam mata uang
kripto baru Dash dan menghindari korban dari
Rusia dengan mengecek keyboard yang
digunakan.
Pada versi lanjutannya, GandCrab juga
mengecek bahasa yang digunakan pada komputer
korbannya sebelum menjalankan aksinya.
GandCrab juga menjadi ransomware pertama
yang berusaha mengeksploitasi TLD (Top Level
Domain) .bit yang tidak dikelola oleh ICANN,
organisasi dunia yang mengatur nama domain
dunia. Namun dalam pelaksanaannya, aksi ini
kurang mulus dan malah mengakibatkan
kegagalan varian GandCrab tersebut dalam
menjalankan aksinya. Versi awal GandCrab
memiliki ciri khas mengenkripsi data komputer
korbannya dan menambahkan ekstensi GDCB.
Aksi ini sempat terhenti sejenak saat Bitdefender
berhasil menemukan kelemahan dalam
programnya dan membagikan program dekripsi
gratis untuk korban GandCrab V.1 versi awal
yang dapat ditemukan di
www.nomoreransom.org. Meski demikian, tak
perlu waktu lama bagi pengembang GandCrab
kembali menjalankan aksinya dan menutupi
kelemahan pemrograman yang dieksploitasi dan
menjalankan aksinya sampai hari ini mencapai
versi 5 dan secara de facto menjadi ransomware
paling aktif dan banyak memakan korban di
tahun 2018.
Sejak menjalankan aksinya pada Januari 2018,
GandCrab telah mengeluarkan 5 varian sampai
dengan September 2018. Adapun varian tersebut
adalah sebagai berikut.
Gambar 3.1 Versi dari GandCrab
III. HASIL DAN PEMBAHASAN
A. Menghapus Ransomware GandCrab
Cara menghapus GandCrab adalah dengan cara
mengambil alih kembali system administrators
dan registry dari si hacker di karenakan struktur
windows di bangun dengan registry, jika system
administrators telah di ambil alih maka system
restore tidak dapat berjalan karena semua akses
di tutup oleh hacker. Dan sebelum melanjutkan
siapkan terlebih dahulu tools Windows Resource
Kit, program ini berfungsi sebagai generator
mising eror dan memperbaiki eror tersebut di os
windows. Berikut langkah-langkahnya :
a. Masuk ke safemode with command prompt
Tahapan pertama yang harus di lakukan adalah
sama seperti sebelum-sebelumnya yaitu masuk ke
safemode with command prompt.
b. Langkah untuk ambil alih otoritas system
administrator
untuk ambil alih otoritas system administrator
langkah selanjutnya yang harus di lakukan adalah
Membuat code seperti di bawah ini :
subinacl /subkeyreg
HKEY_LOCAL_MACHINE
/setowner=Administrators
subinacl /subkeyreg HKEY_CURRENT_USER
/setowner=Administrators
subinacl /subkeyreg HKEY_CLASSES_ROOT
/setowner=Administrators
subinacl /subdirectories %SystemDrive%
/setowner=Administrators subinacl /subkeyreg
HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER
/grant=system=f subinacl /subkeyreg
HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectories %SystemDrive%
/grant=system=f
Code di atas bertujuan untuk memngambil alih
otoritas dan memperbaiki registry yang di ambil
alih oleh hacker. Buatlah dengan Notepad lalu
simpan di desktop. setelah code selesai dibuat,
yang perlu di lakukan adalah dengan meng-
install windows resource kits agar proses
perbaikan registry dapat berjalan lancar
Gambar 3.1 intaller windows resource kits
Tahapan selanjutnya setelah selesai install
windows resource kits, code yang sudah di buat
save dengan nama FIX.bat lalu simpan di dalam
resource kits di hardisk primary didalam
program files (x86) pilih windows resource kits
dan simpan FIX.bat didalam folder tools. Karena
saat scanning file untuk mengetahui registry
mana yang telah rusak membutuhkan bantuan
tools resource kits.
 Gambar 3.2 directory windows resource
setelah berhasil melakukan tahap di atas , yang
harus di lakukan selanjutnya adalah buka
command prompt admin lalu ketik CD arahkan
ke C:\program files (x86)\windows resource
kits\tools, lalu tekan enter, seperti pada gambar
3.3
Gambar 3.3 command prompt dengan perintah
CD
setelah masuk ke directory resource kit jalankan
file FIX.bat dengan mengetik FIX.bat biarkan
code yang telah di buat tersebut bekerja, tunggu
sampai semua proses selesai
Gambar 3.4 command prompt menjalan FIX.bat

Proses scanning perbaikan registry akan
memakan waktu sekitar 60 menit, di karenakan
semua struktur windows di buat dengan Registry.
Gambar 3.5 command prompt proses scanning
perbaikan registry
Ketika proses scanning selesai akan ada pesan
jika registry telah berhasil di ubah kembali dan
terdapat pesan new ace for authority yang dimana
berhasil mengambil alih kembali system
adminitrator dari hacker. Karena GandCrab
tetap sama dengan virus pada umumnya yaitu
dengan merusak file Registry tetapi tidak sekedar
merusak registry tapi juga menutup semua akses
di primary Operating system, maka dari itu
safemode adalah salah satu jalan keluar yang
tepat.
Gambar 3.6 command prompt tampilan setelah
proses scanning selesai
c. Melakukan Decrypt file yang sudah
terenkripsi
Setelah berhasil melakukan penghapusan
ransomware GandCrab, selanjutnya adalah
melakukan decrypt file yang di encrypt oleh
ransomware GandCrab.. Jangan memaksa untuk
membuka file yang telah ter-encrypt dengan
mengganti extenstion secara manual, karena
dengan memaksa menggati secara manual akan
merusak data terserbut.
Dan jika ransoware belum ada tools decrytornya
maka satu-satunya jalan bisa dengan
menggunakan tools recovery seperti recuva.
Berikut adalah langkah- langkah untuk
melakukan decrypt menggunakan tools
Bitdefender decryptor.
A. Decryptor GandCrab Setelah itu pilih data yang ingin didekripsi,
silakan pilih lokasinya dari tombol Browse,
tahapan pertama download Decryptor Grancrab Perhatikan gambar 3.9.
di www.nomoreransom.org setelah berhasil
mendownload jalankan tools bitdefender Jika menjalankan dari komputer yang menjadi
decryptor dan jika ada permintaan persetujuan korban GandCrab, silakan klik kotak Scan entire
UAC User Account Control klik, Yes untuk system dan untuk meningkatkan keamanan, bisa
menyetujui mengaktifkan kotak Backup Files

Gambar 3.9 Program decryptor GandCrab

Gambar 3.7 Persetujuan menjalankan aplikasi
Dan syarat menjalankan program Bitdefender
Dianjurkan untuk tidak sembarangan dalam
decrytor adalah harus mempunyai Ransomnote
menyetujui UAC program lain karena jika
pada komputer yang terenkripsi. Ransomnote
menyetujui program yang belum pasti keabsahan
diperlukan untuk mengidentifikasi kunci dekripsi
dan keamanannya bisa jadi itu adalah virus,
yang diperlukan. Berikut adalah contoh
trojan dan ransomware yang dapat menyamar
Ransomnote
menjadi program.
Setelah itu akan mendapatkan layar instalasi,
seperti pada gambar 3.8. Pilih agree untuk
menjalankan program. Dan perlu diingat,
menjalankan aplikasi ini berisiko dan ada
kemungkinan kerusakan data dalam proses
dekripsi. Karena itu harap bakckup data yang
ingin didekripsi terlebih dahulu ke lokasi yang
aman guna menjaga kemungkinan terjadinya
kegagalan.

Gambar 3.18 contoh ransomnote


Program Bitdefender decryptor ini hanya bisa

melakukan dekripsi pada file yang dienkripsi
oleh GandCrab versi 1, 4 dan 5.

IV. KESIMPULAN DAN SARAN

a. Kesimpulan
Setelah Melakukan Penghapusan Dan
Gambar 3.8 Persetujuan menggunakan aplikasi Pendekripsian Ransomware GandCrab di PT.
decryptor Masskredit Pacifica Raya, Penulis dapat menarik
kesimpulan sebagai berikut :
 keranger-ransomware-changes-security-
- Untuk mengembalikan data yang terkena mac-users/. [1 Desember 2018]
GandCrab V.5.2 tidak perlu untuk membayar ke Rahardjo. Budi. 2016. Slide Presentasi Kuliah
pada si penyerang, yang belum tentu akan Keamanan Informasi berbasis internet,”.
memberikan decryptor. Karena dengan cara-cara [online]. Sumber
di atas dapat mengembalikan data yang tersandra https://slideplayer.info/slide/2865384/.
tanpa harus mengeluarkan uang. 
 [20 desember 2018]

- Metode tersebut juga dapat menghemat waktu Reilly, Claire. 2015. Apple users, beware: First
dan me-recovery hampir semua data yang ter- live ransomware targeting Macs found ‘in
encrypt oleh ransomware GandCrab V.5.2 di PT. the wild’. [online]. sumber
Masskredit Pacifica Raya. 
 http://www.cnet.com/news/apple-users-
beware-first-live-ransomware-targeting-
b. Saran mac-found-in-the-wild/. [1 Desember
2018]
Dalam melakukan Penghapusan dan
Pendeksripsian Ransomware GandCrab penulis Sobri, Muhammad. 2017 “Pengantar Teknologi
dapat memberikan saran seperti berikut : Informasi - Konsep dan Teori”.
Palembang : ANDI
- Menerapkan kebiasaan security yang baik pada
hardware maupun software seperti membatasi Tanujaya, Alfons. 2018. Mengenal Keganasan
jalannya Script, macro pada computer dan install Serangan Ransomware ‘Kepiting Besar’.
anti virus paling tidak versi free 
 [online]. Sumber
https://inet.detik.com/security/d-

4272900/mengenal-keganasan-serangan-
- Serta melakukan backup secara disiplin
ransomware-kepiting-besar. [20
merupakan keharusan, apalagi bagi pengguna Desember 2018]
komputer bisnis yang sekarang mulai diincar
pembuat ransomware 


- Lebih bijak dalam menggunakan internet dan
tidak mudah tertipu oleh iklan- iklan menarik,
tidak sembarangan membuka email oleh orang
yang tidak di kenal

V. DAFTAR PUSTAKA

Anonim. 2018 Cyber Crime dan Cyber Law.

[online]. Sumber
https://hatespeechgroup.wordpress.com/c
ybercrimedancyberlaw/. [1 Desember
2018]

Doevan, Jake GandCrab 5.0.2 ransomware. How

to remove?. [online] sumber
https://www.2-spyware.com/remove-
gandcrab-5-0-2-ransomware.html. [1
Desember 2018]

Nachreiner, Corey. 2016. “KeRanger’ explained:

Why this new Mac ransomware poses a
serious threat,”. [online]. Sumber
http://www.geekwire.com/2016/new-