Kaspesky เผยช่องโหว่ Bad Rabbit ชี้ไม่ต้องจ่ายค่าไถ่ก็อาจกู้คืนไฟล์ได้

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ออกรายงานเปิดเผยช่องโหว่ของ Bad Rabbit Ransomware ที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกอยู่ในขณะนี้ ระบุเหยื่อบางรายอาจโชคดีสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ เนื่องจากข้อบกพร่อง 2 จุดของตัว Ransomware เอง

ข้อบกพร่องใหญ่สุดที่ Kaspersky ค้นพบคือ Bad Rabbit ไม่ได้ทำการลบ Volume Shadow Copies ซึ่งเป็นเทคโนโลยีบนระบบปฏิบัติการ Windows สำหรับทำ Snapshot ของไฟล์ขณะที่เปิดใช้งาน

โดยปกติแล้ว Ransomware จะทำการคัดลอกไฟล์แล้วเข้ารหัสไฟล์ที่ถูกคัดลอกมาใหม่ ก่อนจะลบไฟล์ต้นฉบับทิ้งไป ไฟล์ที่ถูกเข้ารหัสทั้งหมดจึงอยู่ในสถานะ “กำลังเปิดใช้งาน” ส่งผลให้ Shadow Copy ถูกสร้างขึ้นมาเก็บไว้บนฮาร์ดดิสก์ อย่างไรก็ตาม ไม่สามารถบอกได้ว่า Shadow Copy ของไฟล์ต้นฉบับจะถูกเก็บไว้นานแค่ไหน ขึ้นอยู่กับพื้นที่บนฮาร์ดดิสก์ที่เหลืออยู่

Ransomware ส่วนใหญ่จะทำการลบ Shadow Copy ทิ้งไป เพื่อป้องกันไม่ให้ซอฟต์แวร์สำหรับกู้คืนไฟล์ข้อมูลสามารถค้นหา Copy ดังกล่าวซึ่งเป็นไฟล์ต้นฉบับก่อนถูกเข้ารหัสได้ อย่างไรก็ตาม แฮ็คเกอร์เจ้าของ Bad Rabbit Ransomware ไม่ได้สร้าง Task ขึ้นมาสำหรับลบ Shadow Copy เหล่านี้ทิ้ง ส่งผลให้เหยื่อสามารถกู้คืนไฟล์บางส่วนหรือทั้งหมด (ถ้าโชคดีสุดๆ ) กลับคืนมาได้

อีกข้อบกพร่องที่ Kaspersky ค้นพบคือรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูล

Bad Rabbit Ransomware ทำงานโดยเข้ารหัสไฟล์ข้อมูลของเหยื่อ จากนั้นเข้ารหัส MFT (Master File Table) และแทนที่ MBR (Master Boot Record) ด้วยหน้าจอที่แฮ็คเกอร์ปรับแต่งขึ้นมาแดง ซึ่งหน้าจอดังกล่าวจะแสดง “personal installation key #1” สำหรับให้เหยื่อกรอกลงในไซต์ TOR หลังจากที่จ่ายค่าไถ่เพื่อรับรหัสผ่านสำหรับปลดล็อกไฟล์ข้อมูลบนเครื่อง ซึ่ง Kaspersky ประสบความสำเร็จในการใช้ข้อมูลเหล่านี้ถอดเอารหัสผ่านออกมา แล้วสามารถบูตเข้าสู่ระบบปฏิบัติการได้ อย่างไรก็ตาม วิธีที่ Kaspersky ทำสามารถบายพาส Bootloader ของแฮ็คเกอร์ได้เท่านั้น ไม่สามารถใช้ปลดล็อกไฟล์ข้อมูลที่ถูกเข้ารหัสในฮาร์ดดิสก์ได้แต่อย่างใด

อย่างไรก็ตาม Kaspersky พบว่าภายในโค้ดของ dispci.exe มีข้อบกพร่องอยู่ โดยมัลแวร์จะไม่ทำการลบรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูลออกจากหน่วยความจำ ส่งผลให้อาจจะพอมีโอกาส (เพียงเล็กน้อย) ในการถอดข้อมูลรหัสผ่านนั้นออกมาก่อนที่โปรเซส dispci.exe จะสิ้นสุดลง ปัญหาคือ ถ้าเหยื่อรีบูตคอมพิวเตอร์เมื่อไหร่ ก็หมดสิทธิ์ที่จะกู้คืนไฟล์กลับมาได้ทันที ยกเว้นจะยินยอมจ่ายค่าไถ่

รายละเอียดเชิงเทคนิคเกี่ยวกับข้อบกพร่องทั้ง 2 รายการสามารถดูได้ที่: https://securelist.com/bad-rabbit-ransomware/82851/

ที่มา: https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Microsoft เพิ่ม Container Images สำเร็จรูปบน Azure Marketplace แล้ว

Microsoft เพิ่ม Container Images สำเร็จรูปลงใน Azure Marketplace เป็นที่เรียบร้อยแล้ว เริ่มต้นใช้งานได้ทันที