Kaspersky ชี้ ค้นพบวิธีการกู้ไฟล์ที่ถูกเข้ารหัสโดย WannaCry แล้ว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ค้นพบว่าโค้ดของ WannaCrypt/WannaCry นั้นถูกพัฒนาขึ้นมาโดยมีข้อผิดพลาดจำนวนมาก ทำให้สามารถกู้คืนไฟล์ต่างๆกลับมาได้ด้วยวิธีการหลากหลาย

 

สิ่งที่เหล่านักวิจัยค้นพบก็คือ ลำดับการทำงานของ WannaCry นั้นเกิดขึ้นด้วยการเริ่มต้นอ่านไฟล์ที่ต้องการเข้ารหัสก่อน จากนั้นจึงทำการเข้ารหัสและเซฟไฟล์เหล่านั้นในนามสกุล .WNCRYT แล้วจึงค่อยทำการย้าย .WNCRYT ไปเป็น .WNCRY ก่อนที่จะลบไฟล์ต้นฉบับ ด้วยลำดับการทำงานแบบนี้ก็ทำให้เหยื่อของ WannaCry มีหวังที่จะกู้ข้อมูลต่างๆ ขึ้นมาได้

 

กรณีที่ไฟล์อยู่ใน System Drive

สำหรับไฟล์ที่อยู่ในโฟลเดอร์สำคัญอย่างเช่น Desktop หรือ Documents นั้น ไฟล์ต้นฉบับทั้งหมดจะถูกเขียนทับด้วยข้อมูลสุ่มก่อนที่จะทำการลบออกไป ทำให้ข้อมูลกลุ่มนี้ไม่สามารถถูกกู้คืนมาได้

สำหรับไฟล์ที่อยู่นอกเหนือจากโฟลเดอร์สำคัญเหล่านั้น ไฟล์ต้นฉบับทั้งหมดจะถูกย้ายไปอยู่ใน %TEMP%\%d.WNCRYT แทน (%d แทนค่าตัวเลข) ซึ่งไฟล์ในนี้จะเป็นไฟล์ต้นฉบับที่ไม่ถูกเขียนข้อมูลใดๆ ทับเลย แล้วจึงค่อยถูกลบออกไป ดังนั้นหากใช้ซอฟต์แวร์กู้ข้อมูลก็จะสามารถดึงข้อมูลเหล่านี้กลับมาได้

 

กรณีที่ไฟล์อยู่ใน Drive อื่น

WannaCry จะสร้างโฟลเดอร์ $RECYCLE และทำการตั้งค่า hidden+system attribute เอาไว้ ทำให้ Windows File Explorer เปิดหาไฟล์เหล่านี้แล้วมองไม่เห็น จากนั้นจึงค่อยย้ายไฟล์ต้นฉบับก่อนเข้ารหัสมายังโฟลเดอร์เหล่านี้แทนหลังจากที่ทำการเข้ารหัสและเซฟเป็นไฟล์นามสกุลใหม่เสร็จแล้ว

ทั้งนี้ โค้ดของ WannaCry เองก็มีข้อผิดพลาดในส่วนของการทำ Synchronization ในหลายกรณี ทำให้ไฟล์ต้นฉบับบางกลุ่มยังคงตกค้างอยู่ในโฟลเดอร์เดิม ไม่ได้ถูกย้ายไปไหนทั้งนั้น

นอกจากนี้ ไฟล์ต้นฉบับเหล่านี้ยังถูกลบทิ้งด้วยวิธีการที่ไม่ปลอดภัย ทำให้มีโอกาสที่จะถูกกู้คืนมาได้โดยซอฟต์แวร์กู้คืนข้อมูลเช่นกัน

 

ไฟล์แบบ Read-only จะไม่ถูกเข้ารหัสเลย

โค้ดของ WannaCry นั้นจะไม่ทำการเข้ารหัสไฟล์ที่ตั้งไว้เป็น Read-only เลยเพราะมีบั๊กในส่วนนี้ ทำให้ไฟล์เหล่านี้มีไฟล์ที่ถูก Copy เพิ่มมาอีกชุดเท่านั้น และทำการซ่อนไฟล์ต้นฉบับให้เป็นแบบ Hidden ไป

 

สรุป WannaCry เขียนมาไม่ดีพอ ทำให้ไฟล์จำนวนมากสามารถถูกกู้คืนขึ้นมาได้

สำหรับผู้ดูแลระบบที่ถูกโจมตีด้วย WannaCry นั้น ก็ถือว่ามีโอกาสมากขึ้นในการกู้คืนไฟล์กลับมาผ่านทาง Hidden Folder, Hidden File, Temporary Folder และการใช้ Recovery Tool ต่างๆ กู้กลับมา อย่างไรก็ดีหลังจากกู้ข้อมูลกลับมาได้แล้ว ก็ไม่ควรนิ่งนอนใจใช้เครื่องเดิมต่อไปนะครับ เพราะ WannaCry ทิ้ง Backdoor เอาไว้ด้วย แนะนำให้ย้ายข้อมูลออกไปแล้วลงเครื่องใหม่พร้อม Patch ให้ปลอดภัย และสำรองข้อมูลเสริมเอาไว้ด้วยจะดีที่สุดครับ

 

สำหรับรายละเอียดฉบับเต็มสามารถอ่านได้ที่ https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft แพตซ์อุตช่องโหว่ร้ายแรง 34 รายการแนะผู้ใช้ควรอัปเดต

Microsoft ออกแพตซ์แก้ไขช่องโหว่ประจำเดือนธันวาคมจำนวน 34 รายการ โดยแบ่งเป็นการแก้ไขช่องโหว่ระดับความเสี่ยงสูงถึง 20 รายการและ อีก 12 รายการอยู่ในระดับสำคัญ โดยผลิตภัณฑ์ที่ได้รับผลกระทบคือ IE, Microsoft Edge, Windows, …

Supermicro ผ่านการรองรับการใช้งานร่วมกับ SAP HANA ที่หน่วยความจำสูงสุด 6TB แล้ว

SAP ได้ออกมาให้การรับรองแก่ Supermicro ผู้ผลิต Server ชั้นนำว่าสามารถใช้งานร่วมกับ SAP HANA ได้แล้วอย่างเป็นทางการรวมทั้งสิ้น 11 Confuguration ด้วยกัน ให้เหล่าองค์กรสามารถเลือกนำไปใช้เป็น Server Hardware …