Kaspersky ชี้ ค้นพบวิธีการกู้ไฟล์ที่ถูกเข้ารหัสโดย WannaCry แล้ว

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ค้นพบว่าโค้ดของ WannaCrypt/WannaCry นั้นถูกพัฒนาขึ้นมาโดยมีข้อผิดพลาดจำนวนมาก ทำให้สามารถกู้คืนไฟล์ต่างๆกลับมาได้ด้วยวิธีการหลากหลาย

 

สิ่งที่เหล่านักวิจัยค้นพบก็คือ ลำดับการทำงานของ WannaCry นั้นเกิดขึ้นด้วยการเริ่มต้นอ่านไฟล์ที่ต้องการเข้ารหัสก่อน จากนั้นจึงทำการเข้ารหัสและเซฟไฟล์เหล่านั้นในนามสกุล .WNCRYT แล้วจึงค่อยทำการย้าย .WNCRYT ไปเป็น .WNCRY ก่อนที่จะลบไฟล์ต้นฉบับ ด้วยลำดับการทำงานแบบนี้ก็ทำให้เหยื่อของ WannaCry มีหวังที่จะกู้ข้อมูลต่างๆ ขึ้นมาได้

 

กรณีที่ไฟล์อยู่ใน System Drive

สำหรับไฟล์ที่อยู่ในโฟลเดอร์สำคัญอย่างเช่น Desktop หรือ Documents นั้น ไฟล์ต้นฉบับทั้งหมดจะถูกเขียนทับด้วยข้อมูลสุ่มก่อนที่จะทำการลบออกไป ทำให้ข้อมูลกลุ่มนี้ไม่สามารถถูกกู้คืนมาได้

สำหรับไฟล์ที่อยู่นอกเหนือจากโฟลเดอร์สำคัญเหล่านั้น ไฟล์ต้นฉบับทั้งหมดจะถูกย้ายไปอยู่ใน %TEMP%\%d.WNCRYT แทน (%d แทนค่าตัวเลข) ซึ่งไฟล์ในนี้จะเป็นไฟล์ต้นฉบับที่ไม่ถูกเขียนข้อมูลใดๆ ทับเลย แล้วจึงค่อยถูกลบออกไป ดังนั้นหากใช้ซอฟต์แวร์กู้ข้อมูลก็จะสามารถดึงข้อมูลเหล่านี้กลับมาได้

 

กรณีที่ไฟล์อยู่ใน Drive อื่น

WannaCry จะสร้างโฟลเดอร์ $RECYCLE และทำการตั้งค่า hidden+system attribute เอาไว้ ทำให้ Windows File Explorer เปิดหาไฟล์เหล่านี้แล้วมองไม่เห็น จากนั้นจึงค่อยย้ายไฟล์ต้นฉบับก่อนเข้ารหัสมายังโฟลเดอร์เหล่านี้แทนหลังจากที่ทำการเข้ารหัสและเซฟเป็นไฟล์นามสกุลใหม่เสร็จแล้ว

ทั้งนี้ โค้ดของ WannaCry เองก็มีข้อผิดพลาดในส่วนของการทำ Synchronization ในหลายกรณี ทำให้ไฟล์ต้นฉบับบางกลุ่มยังคงตกค้างอยู่ในโฟลเดอร์เดิม ไม่ได้ถูกย้ายไปไหนทั้งนั้น

นอกจากนี้ ไฟล์ต้นฉบับเหล่านี้ยังถูกลบทิ้งด้วยวิธีการที่ไม่ปลอดภัย ทำให้มีโอกาสที่จะถูกกู้คืนมาได้โดยซอฟต์แวร์กู้คืนข้อมูลเช่นกัน

 

ไฟล์แบบ Read-only จะไม่ถูกเข้ารหัสเลย

โค้ดของ WannaCry นั้นจะไม่ทำการเข้ารหัสไฟล์ที่ตั้งไว้เป็น Read-only เลยเพราะมีบั๊กในส่วนนี้ ทำให้ไฟล์เหล่านี้มีไฟล์ที่ถูก Copy เพิ่มมาอีกชุดเท่านั้น และทำการซ่อนไฟล์ต้นฉบับให้เป็นแบบ Hidden ไป

 

สรุป WannaCry เขียนมาไม่ดีพอ ทำให้ไฟล์จำนวนมากสามารถถูกกู้คืนขึ้นมาได้

สำหรับผู้ดูแลระบบที่ถูกโจมตีด้วย WannaCry นั้น ก็ถือว่ามีโอกาสมากขึ้นในการกู้คืนไฟล์กลับมาผ่านทาง Hidden Folder, Hidden File, Temporary Folder และการใช้ Recovery Tool ต่างๆ กู้กลับมา อย่างไรก็ดีหลังจากกู้ข้อมูลกลับมาได้แล้ว ก็ไม่ควรนิ่งนอนใจใช้เครื่องเดิมต่อไปนะครับ เพราะ WannaCry ทิ้ง Backdoor เอาไว้ด้วย แนะนำให้ย้ายข้อมูลออกไปแล้วลงเครื่องใหม่พร้อม Patch ให้ปลอดภัย และสำรองข้อมูลเสริมเอาไว้ด้วยจะดีที่สุดครับ

 

สำหรับรายละเอียดฉบับเต็มสามารถอ่านได้ที่ https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/ ครับ

 

ที่มา: https://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เตรียมยุติการสนับสนุน Office 365 บน Windows 10 ในตุลาคม 2025

ไม่รู้ว่าจะเป็นแผนผลักให้ผู้ใช้ไป Windows 11 อีกทางไหม เพราะกำหนดการ 14 ตุลาคม 2025 ไม่ใช่เป็นเพียงการสิ้นสุดการดูแล Windows 10 แต่ Microsoft จะยุติการสนับสนุน Office …

AWS Backup พร้อมให้บริการใน AWS Thailand Region แล้ว

ล่าสุด Amazon Web Services (AWS) ผู้ให้บริการยักษ์ใหญ่ได้ประกาศความพร้อมให้บริการ AWS Backup ที่จะสนับสนุนการทำสำรองปกป้องข้อมูลแบบ Managed Service ใน AWS Thailand Region …