Breaking News

Kaspesky เผยช่องโหว่ Bad Rabbit ชี้ไม่ต้องจ่ายค่าไถ่ก็อาจกู้คืนไฟล์ได้

Kaspersky Lab ผู้ให้บริการโซลูชัน Endpoint Protection ชื่อดัง ออกรายงานเปิดเผยช่องโหว่ของ Bad Rabbit Ransomware ที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกอยู่ในขณะนี้ ระบุเหยื่อบางรายอาจโชคดีสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสกลับมาได้ เนื่องจากข้อบกพร่อง 2 จุดของตัว Ransomware เอง

ข้อบกพร่องใหญ่สุดที่ Kaspersky ค้นพบคือ Bad Rabbit ไม่ได้ทำการลบ Volume Shadow Copies ซึ่งเป็นเทคโนโลยีบนระบบปฏิบัติการ Windows สำหรับทำ Snapshot ของไฟล์ขณะที่เปิดใช้งาน

โดยปกติแล้ว Ransomware จะทำการคัดลอกไฟล์แล้วเข้ารหัสไฟล์ที่ถูกคัดลอกมาใหม่ ก่อนจะลบไฟล์ต้นฉบับทิ้งไป ไฟล์ที่ถูกเข้ารหัสทั้งหมดจึงอยู่ในสถานะ “กำลังเปิดใช้งาน” ส่งผลให้ Shadow Copy ถูกสร้างขึ้นมาเก็บไว้บนฮาร์ดดิสก์ อย่างไรก็ตาม ไม่สามารถบอกได้ว่า Shadow Copy ของไฟล์ต้นฉบับจะถูกเก็บไว้นานแค่ไหน ขึ้นอยู่กับพื้นที่บนฮาร์ดดิสก์ที่เหลืออยู่

Ransomware ส่วนใหญ่จะทำการลบ Shadow Copy ทิ้งไป เพื่อป้องกันไม่ให้ซอฟต์แวร์สำหรับกู้คืนไฟล์ข้อมูลสามารถค้นหา Copy ดังกล่าวซึ่งเป็นไฟล์ต้นฉบับก่อนถูกเข้ารหัสได้ อย่างไรก็ตาม แฮ็คเกอร์เจ้าของ Bad Rabbit Ransomware ไม่ได้สร้าง Task ขึ้นมาสำหรับลบ Shadow Copy เหล่านี้ทิ้ง ส่งผลให้เหยื่อสามารถกู้คืนไฟล์บางส่วนหรือทั้งหมด (ถ้าโชคดีสุดๆ ) กลับคืนมาได้

อีกข้อบกพร่องที่ Kaspersky ค้นพบคือรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูล

Bad Rabbit Ransomware ทำงานโดยเข้ารหัสไฟล์ข้อมูลของเหยื่อ จากนั้นเข้ารหัส MFT (Master File Table) และแทนที่ MBR (Master Boot Record) ด้วยหน้าจอที่แฮ็คเกอร์ปรับแต่งขึ้นมาแดง ซึ่งหน้าจอดังกล่าวจะแสดง “personal installation key #1” สำหรับให้เหยื่อกรอกลงในไซต์ TOR หลังจากที่จ่ายค่าไถ่เพื่อรับรหัสผ่านสำหรับปลดล็อกไฟล์ข้อมูลบนเครื่อง ซึ่ง Kaspersky ประสบความสำเร็จในการใช้ข้อมูลเหล่านี้ถอดเอารหัสผ่านออกมา แล้วสามารถบูตเข้าสู่ระบบปฏิบัติการได้ อย่างไรก็ตาม วิธีที่ Kaspersky ทำสามารถบายพาส Bootloader ของแฮ็คเกอร์ได้เท่านั้น ไม่สามารถใช้ปลดล็อกไฟล์ข้อมูลที่ถูกเข้ารหัสในฮาร์ดดิสก์ได้แต่อย่างใด

อย่างไรก็ตาม Kaspersky พบว่าภายในโค้ดของ dispci.exe มีข้อบกพร่องอยู่ โดยมัลแวร์จะไม่ทำการลบรหัสผ่านที่ใช้ถอดรหัสไฟล์ข้อมูลออกจากหน่วยความจำ ส่งผลให้อาจจะพอมีโอกาส (เพียงเล็กน้อย) ในการถอดข้อมูลรหัสผ่านนั้นออกมาก่อนที่โปรเซส dispci.exe จะสิ้นสุดลง ปัญหาคือ ถ้าเหยื่อรีบูตคอมพิวเตอร์เมื่อไหร่ ก็หมดสิทธิ์ที่จะกู้คืนไฟล์กลับมาได้ทันที ยกเว้นจะยินยอมจ่ายค่าไถ่

รายละเอียดเชิงเทคนิคเกี่ยวกับข้อบกพร่องทั้ง 2 รายการสามารถดูได้ที่: https://securelist.com/bad-rabbit-ransomware/82851/

ที่มา: https://www.bleepingcomputer.com/news/security/some-bad-rabbit-victims-can-recover-files-without-paying-ransom/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

STelligence เผยเปิดตัว Splunk Insights for Infrastructure รุ่นใช้ฟรี วิเคราะห์ข้อมูลระบบ IT ได้ถึง 200GB

Splunk ได้ออกมาประกาศเปิดตัว Free Tier สำหรับ Splunk Insights for Infrastructure เพื่อให้เหล่าองค์กรต่างๆ ได้เริ่มต้นนำเทคโนโลยี Big Data Analytics ไปใช้ติดตามการทำงานและวิเคราะห์การทำงานของระบบ …

เด็กอายุ 16 ปีถูกจับ ฐาน Hack ระบบของ Apple ได้สำเร็จ

หลังจากที่สื่อออสเตรเลียได้ออกมานำเสนอข่าวเกี่ยวกับประเด็นที่ว่ามีเยาวชนชาวออสเตรเลียอายุ 16 ปีถูกจับเนื่องจากลักลอบเข้าถึงข้อมูลต่างๆ บน Server ของ Apple โดยไม่ได้รับอนุญาต ทาง Apple เองก็จึงต้องออกมาแถลงว่ากรณีดังกล่าวไม่ส่งผลกระทบใดๆ ต่อข้อมูลของลูกค้า Apple แต่อย่างใด