Kaspesky เผยช่องโหว่ Bad Rabbit ชี้ไม่ต้องจ่ายค่าไถ่ก็อาจกู้คืนไฟล์ได้

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ออกรายงานเปิดเผยช่องโหว่ของ Bad Rabbit Ransomware ที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกอยู่ในขณะนี้ ระบุเหยื่อบางรายอาจโชคดีสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ เนื่องจากข้อบกพร่อง 2 จุดของตัว Ransomware เอง

ข้อบกพร่องใหญ่สุดที่ Kaspersky ค้นพบคือ Bad Rabbit ไม่ได้ทำการลบ Volume Shadow Copies ซึ่งเป็นเทคโนโลยีบนระบบปฏิบัติการ Windows สำหรับทำ Snapshot ของไฟล์ขณะที่เปิดใช้งาน

โดยปกติแล้ว Ransomware จะทำการคัดลอกไฟล์แล้วเข้ารหัสไฟล์ที่ถูกคัดลอกมาใหม่ ก่อนจะลบไฟล์ต้นฉบับทิ้งไป ไฟล์ที่ถูกเข้ารหัสทั้งหมดจึงอยู่ในสถานะ “กำลังเปิดใช้งาน” ส่งผลให้ Shadow Copy ถูกสร้างขึ้นมาเก็บไว้บนฮาร์ดดิสก์ อย่างไรก็ตาม ไม่สามารถบอกได้ว่า Shadow Copy ของไฟล์ต้นฉบับจะถูกเก็บไว้นานแค่ไหน ขึ้นอยู่กับพื้นที่บนฮาร์ดดิสก์ที่เหลืออยู่

Ransomware ส่วนใหญ่จะทำการลบ Shadow Copy ทิ้งไป เพื่อป้องกันไม่ให้ซอฟต์แวร์สำหรับกู้คืนไฟล์ข้อมูลสามารถค้นหา Copy ดังกล่าวซึ่งเป็นไฟล์ต้นฉบับก่อนถูกเข้ารหัสได้ อย่างไรก็ตาม แฮ็คเกอร์เจ้าของ Bad Rabbit Ransomware ไม่ได้สร้าง Task ขึ้นมาสำหรับลบ Shadow Copy เหล่านี้ทิ้ง ส่งผลให้เหยื่อสามารถกู้คืนไฟล์บางส่วนหรือทั้งหมด (ถ้าโชคดีสุดๆ ) กลับคืนมาได้

อีกข้อบกพร่องที่ Kaspersky ค้นพบคือรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูล

Bad Rabbit Ransomware ทำงานโดยเข้ารหัสไฟล์ข้อมูลของเหยื่อ จากนั้นเข้ารหัส MFT (Master File Table) และแทนที่ MBR (Master Boot Record) ด้วยหน้าจอที่แฮ็คเกอร์ปรับแต่งขึ้นมาแดง ซึ่งหน้าจอดังกล่าวจะแสดง “personal installation key #1” สำหรับให้เหยื่อกรอกลงในไซต์ TOR หลังจากที่จ่ายค่าไถ่เพื่อรับรหัสผ่านสำหรับปลดล็อกไฟล์ข้อมูลบนเครื่อง ซึ่ง Kaspersky ประสบความสำเร็จในการใช้ข้อมูลเหล่านี้ถอดเอารหัสผ่านออกมา แล้วสามารถบูตเข้าสู่ระบบปฏิบัติการได้ อย่างไรก็ตาม วิธีที่ Kaspersky ทำสามารถบายพาส Bootloader ของแฮ็คเกอร์ได้เท่านั้น ไม่สามารถใช้ปลดล็อกไฟล์ข้อมูลที่ถูกเข้ารหัสในฮาร์ดดิสก์ได้แต่อย่างใด

อย่างไรก็ตาม Kaspersky พบว่าภายในโค้ดของ dispci.exe มีข้อบกพร่องอยู่ โดยมัลแวร์จะไม่ทำการลบรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูลออกจากหน่วยความจำ ส่งผลให้อาจจะพอมีโอกาส (เพียงเล็กน้อย) ในการถอดข้อมูลรหัสผ่านนั้นออกมาก่อนที่โปรเซส dispci.exe จะสิ้นสุดลง ปัญหาคือ ถ้าเหยื่อรีบูตคอมพิวเตอร์เมื่อไหร่ ก็หมดสิทธิ์ที่จะกู้คืนไฟล์กลับมาได้ทันที ยกเว้นจะยินยอมจ่ายค่าไถ่

รายละเอียดเชิงเทคนิคเกี่ยวกับข้อบกพร่องทั้ง 2 รายการสามารถดูได้ที่: https://securelist.com/bad-rabbit-ransomware/82851/

ที่มา: https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

Cisco ออกแพตซ์อุตช่องโหว่ระดับความรุนแรงระดับ ‘ร้ายแรง’ ให้ผลิตภัณฑ์ UCDM และ ESC

Cisco ได้รายงานถึงช่องโหว่ใน 2 ผลิตภัณฑ์ คือ Unified Communication Domain Manager เวอร์ชันก่อน 11.5(2) และ Elastic Services Controller …