Kaspersky ชี้ ค้นพบวิธีการกู้ไฟล์ที่ถูกเข้ารหัสโดย WannaCry แล้ว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ค้นพบว่าโค้ดของ WannaCrypt/WannaCry นั้นถูกพัฒนาขึ้นมาโดยมีข้อผิดพลาดจำนวนมาก ทำให้สามารถกู้คืนไฟล์ต่างๆกลับมาได้ด้วยวิธีการหลากหลาย

 

สิ่งที่เหล่านักวิจัยค้นพบก็คือ ลำดับการทำงานของ WannaCry นั้นเกิดขึ้นด้วยการเริ่มต้นอ่านไฟล์ที่ต้องการเข้ารหัสก่อน จากนั้นจึงทำการเข้ารหัสและเซฟไฟล์เหล่านั้นในนามสกุล .WNCRYT แล้วจึงค่อยทำการย้าย .WNCRYT ไปเป็น .WNCRY ก่อนที่จะลบไฟล์ต้นฉบับ ด้วยลำดับการทำงานแบบนี้ก็ทำให้เหยื่อของ WannaCry มีหวังที่จะกู้ข้อมูลต่างๆ ขึ้นมาได้

 

กรณีที่ไฟล์อยู่ใน System Drive

สำหรับไฟล์ที่อยู่ในโฟลเดอร์สำคัญอย่างเช่น Desktop หรือ Documents นั้น ไฟล์ต้นฉบับทั้งหมดจะถูกเขียนทับด้วยข้อมูลสุ่มก่อนที่จะทำการลบออกไป ทำให้ข้อมูลกลุ่มนี้ไม่สามารถถูกกู้คืนมาได้

สำหรับไฟล์ที่อยู่นอกเหนือจากโฟลเดอร์สำคัญเหล่านั้น ไฟล์ต้นฉบับทั้งหมดจะถูกย้ายไปอยู่ใน %TEMP%\%d.WNCRYT แทน (%d แทนค่าตัวเลข) ซึ่งไฟล์ในนี้จะเป็นไฟล์ต้นฉบับที่ไม่ถูกเขียนข้อมูลใดๆ ทับเลย แล้วจึงค่อยถูกลบออกไป ดังนั้นหากใช้ซอฟต์แวร์กู้ข้อมูลก็จะสามารถดึงข้อมูลเหล่านี้กลับมาได้

 

กรณีที่ไฟล์อยู่ใน Drive อื่น

WannaCry จะสร้างโฟลเดอร์ $RECYCLE และทำการตั้งค่า hidden+system attribute เอาไว้ ทำให้ Windows File Explorer เปิดหาไฟล์เหล่านี้แล้วมองไม่เห็น จากนั้นจึงค่อยย้ายไฟล์ต้นฉบับก่อนเข้ารหัสมายังโฟลเดอร์เหล่านี้แทนหลังจากที่ทำการเข้ารหัสและเซฟเป็นไฟล์นามสกุลใหม่เสร็จแล้ว

ทั้งนี้ โค้ดของ WannaCry เองก็มีข้อผิดพลาดในส่วนของการทำ Synchronization ในหลายกรณี ทำให้ไฟล์ต้นฉบับบางกลุ่มยังคงตกค้างอยู่ในโฟลเดอร์เดิม ไม่ได้ถูกย้ายไปไหนทั้งนั้น

นอกจากนี้ ไฟล์ต้นฉบับเหล่านี้ยังถูกลบทิ้งด้วยวิธีการที่ไม่ปลอดภัย ทำให้มีโอกาสที่จะถูกกู้คืนมาได้โดยซอฟต์แวร์กู้คืนข้อมูลเช่นกัน

 

ไฟล์แบบ Read-only จะไม่ถูกเข้ารหัสเลย

โค้ดของ WannaCry นั้นจะไม่ทำการเข้ารหัสไฟล์ที่ตั้งไว้เป็น Read-only เลยเพราะมีบั๊กในส่วนนี้ ทำให้ไฟล์เหล่านี้มีไฟล์ที่ถูก Copy เพิ่มมาอีกชุดเท่านั้น และทำการซ่อนไฟล์ต้นฉบับให้เป็นแบบ Hidden ไป

 

สรุป WannaCry เขียนมาไม่ดีพอ ทำให้ไฟล์จำนวนมากสามารถถูกกู้คืนขึ้นมาได้

สำหรับผู้ดูแลระบบที่ถูกโจมตีด้วย WannaCry นั้น ก็ถือว่ามีโอกาสมากขึ้นในการกู้คืนไฟล์กลับมาผ่านทาง Hidden Folder, Hidden File, Temporary Folder และการใช้ Recovery Tool ต่างๆ กู้กลับมา อย่างไรก็ดีหลังจากกู้ข้อมูลกลับมาได้แล้ว ก็ไม่ควรนิ่งนอนใจใช้เครื่องเดิมต่อไปนะครับ เพราะ WannaCry ทิ้ง Backdoor เอาไว้ด้วย แนะนำให้ย้ายข้อมูลออกไปแล้วลงเครื่องใหม่พร้อม Patch ให้ปลอดภัย และสำรองข้อมูลเสริมเอาไว้ด้วยจะดีที่สุดครับ

 

สำหรับรายละเอียดฉบับเต็มสามารถอ่านได้ที่ https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PR] Endless ระบบปฏิบัติการฟรีที่ง่ายต่อการใช้งานพร้อมให้บริการในประเทศไทยแล้ว เจาะกลุ่มผู้ใช้ใหม่สำหรับตลาดคอมพิวเตอร์

กรุงเทพฯ 23 มิถุนายน 2560 – Endless Computers ประกาศเปิดตัวระบบปฏิบัติการ (OS) ในประเทศไทยแล้ววันนี้ สร้างมิติใหม่แก่ตลาดคอมพิวเตอร์ของไทย การเปิดตัวครั้งนี้ยังเป็นการบุกตลาดในภูมิภาคเอเชียตะวันออกเฉียงใต้เป็นครั้งแรกของ Endless อีกด้วย  Endless …

[PR] โลจิเทค เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ ‘โลจิเทค มีทอัพ’ เติมเต็มประสิทธิภาพห้องประชุมกลุ่มย่อย ท่ามกลางความนิยมที่เพิ่มขึ้นของการทำงานในพื้นที่เปิดและห้องประชุมขนาดเล็ก พร้อมส่งต่อประสบการณ์ด้านเสียงและวิดีโอที่เหนือกว่า

กรุงเทพฯ, ประเทศไทย –  22 มิถุนายน 2560 – โลจิเทค (SIX: LOGN) (NASDAQ: LOGI) เปิดตัวกล้องประชุมทางไกลระดับพรีเมียร์ โลจิเทค มีทอัพ …