Kaspersky ชี้ ค้นพบวิธีการกู้ไฟล์ที่ถูกเข้ารหัสโดย WannaCry แล้ว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ค้นพบว่าโค้ดของ WannaCrypt/WannaCry นั้นถูกพัฒนาขึ้นมาโดยมีข้อผิดพลาดจำนวนมาก ทำให้สามารถกู้คืนไฟล์ต่างๆกลับมาได้ด้วยวิธีการหลากหลาย

 

สิ่งที่เหล่านักวิจัยค้นพบก็คือ ลำดับการทำงานของ WannaCry นั้นเกิดขึ้นด้วยการเริ่มต้นอ่านไฟล์ที่ต้องการเข้ารหัสก่อน จากนั้นจึงทำการเข้ารหัสและเซฟไฟล์เหล่านั้นในนามสกุล .WNCRYT แล้วจึงค่อยทำการย้าย .WNCRYT ไปเป็น .WNCRY ก่อนที่จะลบไฟล์ต้นฉบับ ด้วยลำดับการทำงานแบบนี้ก็ทำให้เหยื่อของ WannaCry มีหวังที่จะกู้ข้อมูลต่างๆ ขึ้นมาได้

 

กรณีที่ไฟล์อยู่ใน System Drive

สำหรับไฟล์ที่อยู่ในโฟลเดอร์สำคัญอย่างเช่น Desktop หรือ Documents นั้น ไฟล์ต้นฉบับทั้งหมดจะถูกเขียนทับด้วยข้อมูลสุ่มก่อนที่จะทำการลบออกไป ทำให้ข้อมูลกลุ่มนี้ไม่สามารถถูกกู้คืนมาได้

สำหรับไฟล์ที่อยู่นอกเหนือจากโฟลเดอร์สำคัญเหล่านั้น ไฟล์ต้นฉบับทั้งหมดจะถูกย้ายไปอยู่ใน %TEMP%\%d.WNCRYT แทน (%d แทนค่าตัวเลข) ซึ่งไฟล์ในนี้จะเป็นไฟล์ต้นฉบับที่ไม่ถูกเขียนข้อมูลใดๆ ทับเลย แล้วจึงค่อยถูกลบออกไป ดังนั้นหากใช้ซอฟต์แวร์กู้ข้อมูลก็จะสามารถดึงข้อมูลเหล่านี้กลับมาได้

 

กรณีที่ไฟล์อยู่ใน Drive อื่น

WannaCry จะสร้างโฟลเดอร์ $RECYCLE และทำการตั้งค่า hidden+system attribute เอาไว้ ทำให้ Windows File Explorer เปิดหาไฟล์เหล่านี้แล้วมองไม่เห็น จากนั้นจึงค่อยย้ายไฟล์ต้นฉบับก่อนเข้ารหัสมายังโฟลเดอร์เหล่านี้แทนหลังจากที่ทำการเข้ารหัสและเซฟเป็นไฟล์นามสกุลใหม่เสร็จแล้ว

ทั้งนี้ โค้ดของ WannaCry เองก็มีข้อผิดพลาดในส่วนของการทำ Synchronization ในหลายกรณี ทำให้ไฟล์ต้นฉบับบางกลุ่มยังคงตกค้างอยู่ในโฟลเดอร์เดิม ไม่ได้ถูกย้ายไปไหนทั้งนั้น

นอกจากนี้ ไฟล์ต้นฉบับเหล่านี้ยังถูกลบทิ้งด้วยวิธีการที่ไม่ปลอดภัย ทำให้มีโอกาสที่จะถูกกู้คืนมาได้โดยซอฟต์แวร์กู้คืนข้อมูลเช่นกัน

 

ไฟล์แบบ Read-only จะไม่ถูกเข้ารหัสเลย

โค้ดของ WannaCry นั้นจะไม่ทำการเข้ารหัสไฟล์ที่ตั้งไว้เป็น Read-only เลยเพราะมีบั๊กในส่วนนี้ ทำให้ไฟล์เหล่านี้มีไฟล์ที่ถูก Copy เพิ่มมาอีกชุดเท่านั้น และทำการซ่อนไฟล์ต้นฉบับให้เป็นแบบ Hidden ไป

 

สรุป WannaCry เขียนมาไม่ดีพอ ทำให้ไฟล์จำนวนมากสามารถถูกกู้คืนขึ้นมาได้

สำหรับผู้ดูแลระบบที่ถูกโจมตีด้วย WannaCry นั้น ก็ถือว่ามีโอกาสมากขึ้นในการกู้คืนไฟล์กลับมาผ่านทาง Hidden Folder, Hidden File, Temporary Folder และการใช้ Recovery Tool ต่างๆ กู้กลับมา อย่างไรก็ดีหลังจากกู้ข้อมูลกลับมาได้แล้ว ก็ไม่ควรนิ่งนอนใจใช้เครื่องเดิมต่อไปนะครับ เพราะ WannaCry ทิ้ง Backdoor เอาไว้ด้วย แนะนำให้ย้ายข้อมูลออกไปแล้วลงเครื่องใหม่พร้อม Patch ให้ปลอดภัย และสำรองข้อมูลเสริมเอาไว้ด้วยจะดีที่สุดครับ

 

สำหรับรายละเอียดฉบับเต็มสามารถอ่านได้ที่ https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft ออกอัปเดต Azure Stack รองรับ Intel Xeon Scalable Processor

Microsoft ประกาศอัปเดต Azure Stack รองรับหน่วยประมวลผล Intel รุ่นใหม่ ตระกูล Xeon Scalable (“Purley”) อย่างเป็นทางการ หน่วยประมวลผลรุ่นใหม่นี้มีประสิทธิภาพที่สูง มีการปรับปรุงในเรื่องของ IO …

NSS Labs ออกผลทดสอบ Breach Detection Systems ปี 2017

    NSS Labs บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย ออกรายงานผลทดสอบ Breach Detection Systems ประจำปี 2017 พร้อม Security Value Map …

ปิดโหมดสีเทา