ข่าวดี Windows XP “อาจ” ปลดล็อก WannaCry ได้โดยไม่ต้องจ่ายค่าไถ่

Adrien Guinet นักวิจัยด้านความมั่นคงปลอดภัยจาก Quarkslab ฝรั่งเศส ทำการพัฒนาซอฟต์แวร์ Decryptor ที่ช่วยให้เขาสามารถดึงไฟล์กุญแจที่ใช้ถอดรหัส WannaCry เพื่อกู้ไฟล์ข้อมูลบน Windows XP ที่ถูกเข้ารหัสกลับคืนมาได้ ส่งผลให้เหยื่อ “อาจ” ไม่จำเป็นต้องจ่ายค่าไถ่ $300 หรือ $600 ให้แก่แฮ็คเกอร์อีกต่อไป

Guinet ระบุว่า ซอฟต์แวร์ที่เขาพัฒนาขึ้นมีชื่อว่า “WannaKey” ซึ่งถูกออกแบบมาสำหรับ Windows XP โดยเฉพาะ เงื่อนไขในการทำงานของ WannaKey คือหลังจากที่เครื่องคอมพิวเตอร์ติด Ransomware แล้ว เครื่องจะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน

ที่ Guinet สามารถกู้ไฟล์กุญแจที่ใช้ถอดรหัส WannaCry ออกมาได้ เนื่องจาก WannaCry ทำการสร้างกุญแจเข้ารหัสแบบ RSA โดยใช้ Microsoft Cryptographic API ซึ่งหลังจากที่กุญแจเข้ารหัสถูกสร้างและจัดเก็บเรียบร้อยแล้ว API ดังกล่าวจะทำการลบข้อมูลกุญแจนี้ออกไปจากเครื่อง แต่เนื่องด้วยข้อจำกัดบางประการ ทำให้ Windows XP ไม่ได้ลบข้อมูลบางส่วน (คือจำนวนเฉพาะ P และ Q ซึ่งเป็นองค์ประกอบสำคัญในการสร้างกุญแจที่ใช้เข้ารหัส) ออกไป ส่งผลให้ข้อมูลดังกล่าวยังคงถูกเก็บอยู่ใน Memory จนกว่าเครื่องจะถูกรีสตาร์ท โปรแกรม WannaKey จึงทำการกู้ข้อมูลนี้กลับคืนมาเพื่อใช้สร้างกุญแจสำหรับถอดรหัสไฟล์ข้อมูลบนเครื่องนั้นๆ ได้

“ถ้าคุณโชคดี (ที่ Memory ที่เก็บข้อมูลที่เกี่ยวข้องยังไม่ถูก Reallocate หรือถูกลบไป) ตัวเลขจำนวนเฉพาะเหล่านี้ก็จะยังคงอยู่ใน Memory” — Guinet ระบุ

อย่างไรก็ตาม Guinet ระบุว่า ซอฟต์แวร์ดังกล่าวยังไม่ได้ทดสอบกับคอมพิวเตอร์ XP หลายๆ แบบในวงกว้าง และถึงแม้ว่าจะสามารถปลดรหัสไฟล์ข้อมูลได้จริง ก็ยังมีข้อจำกัดหลายประการ เนื่องจาก Windows XP ไม่ได้เป็นเป้าหมายหลักของการแพร่ระบาดของ WannaCry เมื่อสุดสัปดาห์ที่ผ่านมา ดังนั้นจึงยังไม่สามารถการันตีได้ว่าจะปลดล็อกได้ 100%

Matt Suiche นักวิจัยด้านความมั่นคงปลอดภัยและผู้ก่อตั้ง Comae Technologies รายงานว่า หลังจากที่เขาทดสอบใช้ WannaKey กับ Windows XP ของเขา พบว่าไม่สามารถปลดรหัสได้แต่อย่างใด

สำหรับผู้ใช้ Windows XP ที่อาจตกเป็นเหยื่อของ WannaKry สามารถอ่านรายละเอียดและลองดาวน์โหลด WannaKey ไปปลดล็อกเครื่องได้ที่ https://github.com/aguinet/wannakey

ที่มา: https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Joomla ออกแพทช์อุดช่องโหว่ LDAP Injection อายุนานกว่า 8 ปี

Joomla ระบบ CMS ชื่อดัง ได้ออกแพทช์อุดช่องโหว่ LDAP Injection ที่มีอายุนานกว่า 8 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลบัญชีและรหัสผ่านของผู้ใช้และเข้าควบคุมเว็บไซต์ทั้งหมดได้ แนะนำให้ผู้ดูแลเว็บอัปเดตแพทช์ล่าสุดทันที

ระบบ EDGAR ของ SEC ถูกแฮ็ค อาจถูกนำข้อมูลไปใช้ในการซื้อขายหุ้นด้วยข้อมูลวงใน

หน่วยงาน US Security and Exchange Commission (SEC) ได้ออกมาเปิดเผยถึงการถูกโจมตีและเข้าถึงข้อมูลทางการเงินของบริษัทนับหมื่นรายที่อยู่ในตลาดหุ้นของสหรัฐอเมริกาเมื่อปี 2016 ที่ผ่านมา และคาดว่าข้อมูลเชิงลึกวงในเหล่านั้นอาจถูกนำไปใช้ในการซื้อขายหุ้นด้วย