Petya Ransomware ถูกแคร็กเรียบร้อย กู้คืนข้อมูลได้ทันทีโดยไม่ต้องจ่ายค่าไถ่

นับว่าเป็นข่าวดีประจำวันนี้ คือ Petya Ransomware ที่เริ่มแพร่ระบาดเมื่อไม่กี่สัปดาห์ก่อน ถูกแคร็กเป็นที่เรียบร้อย ผู้ที่ถูกมัลแวร์เรียกค่าไถ่นี้เล่นงานสามารถกู้คืนไฟล์ข้อมูลและกลับมาใช้งานคอมพิวเตอร์ได้เหมือนเดิมโดยไม่ต้องจ่ายค่าไถ่อีกต่อไป

Petya เป็น Ransomware น้องใหม่ที่ไม่ได้เข้ารหัสไฟล์ข้อมูล แต่ทำการเขียนทับ Master Boot Record (MBR) เพื่อให้คอมพิวเตอร์ทำงานผิดพลาดจนต้องรีบูทใหม่ (Stage 1) จากนั้นจะทำการเข้ารหัส Master File Table (MFT) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูลเกี่ยวกับตำแหน่งของไฟล์อื่นๆ บน NTFS Partitions ส่งผลให้ OS ไม่ทราบว่าไฟล์ข้อมูลถูกเก็บอยู่ที่ส่วนใด หรือก็คือไม่สามารถบูทเข้าใช้งานระบบคอมพิวเตอร์ได้ (Stage 2)

หลังจาก Petya เริ่มแพร่กระจายไปนาน Hasherezade ได้สร้าง Decoder สำหรับถอดกุญแจที่ใช้เข้ารหัสออกมาได้เป็นผลสำเร็จ แต่ Decoder นี้จะใช้ได้ก็ต่อเมื่อระบบยังไม่ถูกรีบูทหลังจากติดมัลแวร์เท่านั้น (Stage 1)

ข่าวดีคือ เมื่อวันศุกร์ที่ผ่านมา โปรแกรมเมอร์ชื่อ Leo Stone ประสบความสำเร็จในการสร้าง Tool สำหรับถอดกุญแจที่ใช้เข้ารหัส ถึงแม้ว่าคอมพิวเตอร์จะถูกรีบูทไปแล้วก็ตาม (Stage 2) Stone ระบุว่า แรงบันดาลใจในการสร้าง Tool นี้มาจากพ่อตาของเขาตกเป็นเหยื่อของ Petya และไม่อยากจ่ายเงินค่าไถ่ Stone จึงจัดการค้นหาวิธีในการแก้ปัญหาดังกล่าว และได้เผยแพร่ Tool รวมไปถึงรายละเอียดการใช้งานบน GitHub

Tool ดังกล่าวสามารถใช้งานออนไลน์ได้ผ่านทาง https://petya-pay-no-ransom-mirror1.herokuapp.com/ แต่ Tool นี้ก็มีข้อจำกัด คือ จำเป็นต้องดึงข้อมูลบางอย่างออกมาจากฮาร์ดดิสที่ติดมัลแวร์ ซึ่งเป็นเรื่องค่อนข้างยากสำหรับผู้ที่ไม่เชี่ยวชาญด้านคอมพิวเตอร์ อย่างไรก็ตาม ทาง Bleeping Computer ก็ได้เขียนอธิบายขั้นตอนการถอดกุญแจที่ใช้เข้ารหัสโดยละเอียด ผู้ที่สนใจสามารถอ่านคำอธิบายได้ที่ http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

ที่มา: https://www.helpnetsecurity.com/2016/04/11/petya-ransomware-encryption-cracked/