WanaKiwi: เครื่องมือปลดล็อก WannaCry สำหรับ Windows XP, 7, Vista, Server 2003 และ Server 2008

หลังจากที่ก่อนหน้านี้ Adrien Guinet ใช้ข้อจำกัดบางประการของ Windows XP ในการพัฒนาซอฟต์แวร์ WannaKey เพื่อกู้กุญแจที่ให้เข้ารหัสกลับมาปลดล็อกไฟล์ที่ถูก WannaCry Ransomware เข้ารหัสบนระบบปฏิบัติการดังกล่าว ล่าสุดทาง Benjamin Delpy นักวิจัยด้านความมั่นคงปลอดภัยอีกท่านได้นำซอฟต์แวร์ไปต่อยอดเพื่อให้ปลดล็อกไฟล์บน Windows 7, Windows Vista, Windows Server 2003 และ Windows Server 2008 ได้เรียบร้อยแล้ว

ซอฟต์แวร์ Decryptor ที่ Delpy พัฒนาขึ้นมีชื่อว่า WanaKiwi ซึ่งเผยแพร่บน GitHub สิ่งที่คนที่ตกเป็นของ WannaCry ต้องทำมีเพียงแค่ดาวน์โหลดซอฟต์แวร์ดังกล่าวมาแล้วรันผ่าน Command Line เท่านั้น แล้วก็รอลุ้นว่าจะสามารถกู้กุญแจที่ใช้เข้ารหัสกลับคืนมาเพื่อปลดล็อกไฟล์ได้หรือไม่ ทั้งนี้ยังไม่มีการยืนยัน 100% ว่าสามารถปลดล็อกไฟล์ได้ทุกเงื่อนไข แต่อย่างน้อยผู้ที่ตกเป็นเหยื่อก็มีความหวังที่จะกู้ไฟล์กลับคืนมาได้โดยไม่ต้องเสียค่าไถ่

Matt Suiche จาก Comae Technologies ที่ก่อนหน้านี้ระบุว่า ซอฟต์แวร์ WannaKey ของ Adrien Guinet ใช้ไม่ได้ผลในบางกรณี ได้ทำการสาธิตการใช้ WannaKiwi และยืนยันว่าสามารถปลดล็อก WannaCry บน Windows XP และ Windows 7 ได้สำเร็จแล้ว

ทั้งนี้ คาดว่าเงื่อนไขเบื้องต้นในการปลดรหัสได้สำเร็จต้องมีอย่างน้อย 2 รายการเช่นเดียวกับ WannaKey คือ

  • คอมพิวเตอร์ที่ถูก WannaCry เข้ารหัส จะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน
  • พื้นที่บนๆ Memory ที่เกี่ยวข้องกับการกู้ข้อมูลกุญแจที่ใช้เข้ารหัสจะต้องยังไม่ถูก Reallocate หรือถูกลบไปโดยโปรเซสอื่นๆ

อย่างไรก็ตาม แนะนำให้ผู้ใช้ทุกท่านป้องกันตัวเองตั้งแต่เนิ่นๆ ด้วยการอัปเดตแพทช์ MS17-010 เพื่ออุดช่องโหว่ SMBv1 (EternalBlue) ที่ WannaCry ใช้โจมตีเข้ามา และหมั่นสำรองข้อมูลสม่ำเสมอ และถึงแม้จะถอดรหัสไฟล์ต่างๆ กลับมาได้แล้ว ก็ควรจะย้ายข้อมูลเหล่านั้นไปยังเครื่องอื่น ก่อนจะทำการล้างเครื่องเดิมและติดตั้งระบบปฏิบัติการและ Software ต่างๆ พร้อมอัปเดตให้ปลอดภัย เพื่อป้องกันกรณีที่อาจมี Backdoor หรือ Malware ต่างๆ ตกค้างอยู่ในเครื่องด้วยครับ

ดาวน์โหลด WanaKiwi Decrypter ได้ผ่านทาง: https://github.com/gentilkiwi/wanakiwi/releases

ที่มา: http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[PCI Community Meeting 2017] สรุป Keynote Session วันที่ 2 โดย ดร. ชาลี วรกุลพิพัฒน์ จาก NECTEC

บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” …

เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่านเครื่องมือ “Apps & Features”

Christian B. นักศึกษาระดับปริญญาโทจากเยอรมนี ค้นพบวิธีบายพาส Access Control (UAC) แบบใหม่บน Windows 10 ซึ่งอาศัยช่องโหว่ “Auto-elevation” บนเครื่องมือ Apps & …