TTT Virtual Summit: Enterprise Cybersecurity & Privacy 2023
CDIC 2023

WanaKiwi: เครื่องมือปลดล็อก WannaCry สำหรับ Windows XP, 7, Vista, Server 2003 และ Server 2008

May 19, 2017 Endpoint Security, Featured Posts, IT Knowledge, IT Tools, Security

หลังจากที่ก่อนหน้านี้ Adrien Guinet ใช้ข้อจำกัดบางประการของ Windows XP ในการพัฒนาซอฟต์แวร์ WannaKey เพื่อกู้กุญแจที่ให้เข้ารหัสกลับมาปลดล็อกไฟล์ที่ถูก WannaCry Ransomware เข้ารหัสบนระบบปฏิบัติการดังกล่าว ล่าสุดทาง Benjamin Delpy นักวิจัยด้านความมั่นคงปลอดภัยอีกท่านได้นำซอฟต์แวร์ไปต่อยอดเพื่อให้ปลดล็อกไฟล์บน Windows 7, Windows Vista, Windows Server 2003 และ Windows Server 2008 ได้เรียบร้อยแล้ว

ซอฟต์แวร์ Decryptor ที่ Delpy พัฒนาขึ้นมีชื่อว่า WanaKiwi ซึ่งเผยแพร่บน GitHub สิ่งที่คนที่ตกเป็นของ WannaCry ต้องทำมีเพียงแค่ดาวน์โหลดซอฟต์แวร์ดังกล่าวมาแล้วรันผ่าน Command Line เท่านั้น แล้วก็รอลุ้นว่าจะสามารถกู้กุญแจที่ใช้เข้ารหัสกลับคืนมาเพื่อปลดล็อกไฟล์ได้หรือไม่ ทั้งนี้ยังไม่มีการยืนยัน 100% ว่าสามารถปลดล็อกไฟล์ได้ทุกเงื่อนไข แต่อย่างน้อยผู้ที่ตกเป็นเหยื่อก็มีความหวังที่จะกู้ไฟล์กลับคืนมาได้โดยไม่ต้องเสียค่าไถ่

Matt Suiche จาก Comae Technologies ที่ก่อนหน้านี้ระบุว่า ซอฟต์แวร์ WannaKey ของ Adrien Guinet ใช้ไม่ได้ผลในบางกรณี ได้ทำการสาธิตการใช้ WannaKiwi และยืนยันว่าสามารถปลดล็อก WannaCry บน Windows XP และ Windows 7 ได้สำเร็จแล้ว

ทั้งนี้ คาดว่าเงื่อนไขเบื้องต้นในการปลดรหัสได้สำเร็จต้องมีอย่างน้อย 2 รายการเช่นเดียวกับ WannaKey คือ

  • คอมพิวเตอร์ที่ถูก WannaCry เข้ารหัส จะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน
  • พื้นที่บนๆ Memory ที่เกี่ยวข้องกับการกู้ข้อมูลกุญแจที่ใช้เข้ารหัสจะต้องยังไม่ถูก Reallocate หรือถูกลบไปโดยโปรเซสอื่นๆ

อย่างไรก็ตาม แนะนำให้ผู้ใช้ทุกท่านป้องกันตัวเองตั้งแต่เนิ่นๆ ด้วยการอัปเดตแพทช์ MS17-010 เพื่ออุดช่องโหว่ SMBv1 (EternalBlue) ที่ WannaCry ใช้โจมตีเข้ามา และหมั่นสำรองข้อมูลสม่ำเสมอ และถึงแม้จะถอดรหัสไฟล์ต่างๆ กลับมาได้แล้ว ก็ควรจะย้ายข้อมูลเหล่านั้นไปยังเครื่องอื่น ก่อนจะทำการล้างเครื่องเดิมและติดตั้งระบบปฏิบัติการและ Software ต่างๆ พร้อมอัปเดตให้ปลอดภัย เพื่อป้องกันกรณีที่อาจมี Backdoor หรือ Malware ต่างๆ ตกค้างอยู่ในเครื่องด้วยครับ

ดาวน์โหลด WanaKiwi Decrypter ได้ผ่านทาง: https://github.com/gentilkiwi/wanakiwi/releases

ที่มา: http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand