ข่าวดี Windows XP “อาจ” ปลดล็อก WannaCry ได้โดยไม่ต้องจ่ายค่าไถ่

Adrien Guinet นักวิจัยด้านความมั่นคงปลอดภัยจาก Quarkslab ฝรั่งเศส ทำการพัฒนาซอฟต์แวร์ Decryptor ที่ช่วยให้เขาสามารถดึงไฟล์กุญแจที่ใช้ถอดรหัส WannaCry เพื่อกู้ไฟล์ข้อมูลบน Windows XP ที่ถูกเข้ารหัสกลับคืนมาได้ ส่งผลให้เหยื่อ “อาจ” ไม่จำเป็นต้องจ่ายค่าไถ่ $300 หรือ $600 ให้แก่แฮ็คเกอร์อีกต่อไป

Guinet ระบุว่า ซอฟต์แวร์ที่เขาพัฒนาขึ้นมีชื่อว่า “WannaKey” ซึ่งถูกออกแบบมาสำหรับ Windows XP โดยเฉพาะ เงื่อนไขในการทำงานของ WannaKey คือหลังจากที่เครื่องคอมพิวเตอร์ติด Ransomware แล้ว เครื่องจะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน

ที่ Guinet สามารถกู้ไฟล์กุญแจที่ใช้ถอดรหัส WannaCry ออกมาได้ เนื่องจาก WannaCry ทำการสร้างกุญแจเข้ารหัสแบบ RSA โดยใช้ Microsoft Cryptographic API ซึ่งหลังจากที่กุญแจเข้ารหัสถูกสร้างและจัดเก็บเรียบร้อยแล้ว API ดังกล่าวจะทำการลบข้อมูลกุญแจนี้ออกไปจากเครื่อง แต่เนื่องด้วยข้อจำกัดบางประการ ทำให้ Windows XP ไม่ได้ลบข้อมูลบางส่วน (คือจำนวนเฉพาะ P และ Q ซึ่งเป็นองค์ประกอบสำคัญในการสร้างกุญแจที่ใช้เข้ารหัส) ออกไป ส่งผลให้ข้อมูลดังกล่าวยังคงถูกเก็บอยู่ใน Memory จนกว่าเครื่องจะถูกรีสตาร์ท โปรแกรม WannaKey จึงทำการกู้ข้อมูลนี้กลับคืนมาเพื่อใช้สร้างกุญแจสำหรับถอดรหัสไฟล์ข้อมูลบนเครื่องนั้นๆ ได้

“ถ้าคุณโชคดี (ที่ Memory ที่เก็บข้อมูลที่เกี่ยวข้องยังไม่ถูก Reallocate หรือถูกลบไป) ตัวเลขจำนวนเฉพาะเหล่านี้ก็จะยังคงอยู่ใน Memory” — Guinet ระบุ

อย่างไรก็ตาม Guinet ระบุว่า ซอฟต์แวร์ดังกล่าวยังไม่ได้ทดสอบกับคอมพิวเตอร์ XP หลายๆ แบบในวงกว้าง และถึงแม้ว่าจะสามารถปลดรหัสไฟล์ข้อมูลได้จริง ก็ยังมีข้อจำกัดหลายประการ เนื่องจาก Windows XP ไม่ได้เป็นเป้าหมายหลักของการแพร่ระบาดของ WannaCry เมื่อสุดสัปดาห์ที่ผ่านมา ดังนั้นจึงยังไม่สามารถการันตีได้ว่าจะปลดล็อกได้ 100%

Matt Suiche นักวิจัยด้านความมั่นคงปลอดภัยและผู้ก่อตั้ง Comae Technologies รายงานว่า หลังจากที่เขาทดสอบใช้ WannaKey กับ Windows XP ของเขา พบว่าไม่สามารถปลดรหัสได้แต่อย่างใด

สำหรับผู้ใช้ Windows XP ที่อาจตกเป็นเหยื่อของ WannaKry สามารถอ่านรายละเอียดและลองดาวน์โหลด WannaKey ไปปลดล็อกเครื่องได้ที่ https://github.com/aguinet/wannakey

ที่มา: https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Red Hat ออก Patch ใหม่ ยกเลิกการแก้ไขช่องโหว่ Spectre หลังผู้ใช้งานแจ้งว่า Boot เครื่องไม่ขึ้น

หลังจากที่ก่อนหน้านี้ทาง Red Hat ได้ออก Patch แก้ไขช่องโหว่ Spectre มา ตอนนี้ทาง Red Hat ต้องออก Patch ใหม่เพื่อยกเลิก Patch …

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …