ข่าวดี Windows XP “อาจ” ปลดล็อก WannaCry ได้โดยไม่ต้องจ่ายค่าไถ่

Adrien Guinet นักวิจัยด้านความมั่นคงปลอดภัยจาก Quarkslab ฝรั่งเศส ทำการพัฒนาซอฟต์แวร์ Decryptor ที่ช่วยให้เขาสามารถดึงไฟล์กุญแจที่ใช้ถอดรหัส WannaCry เพื่อกู้ไฟล์ข้อมูลบน Windows XP ที่ถูกเข้ารหัสกลับคืนมาได้ ส่งผลให้เหยื่อ “อาจ” ไม่จำเป็นต้องจ่ายค่าไถ่ $300 หรือ $600 ให้แก่แฮ็คเกอร์อีกต่อไป

Guinet ระบุว่า ซอฟต์แวร์ที่เขาพัฒนาขึ้นมีชื่อว่า “WannaKey” ซึ่งถูกออกแบบมาสำหรับ Windows XP โดยเฉพาะ เงื่อนไขในการทำงานของ WannaKey คือหลังจากที่เครื่องคอมพิวเตอร์ติด Ransomware แล้ว เครื่องจะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน

ที่ Guinet สามารถกู้ไฟล์กุญแจที่ใช้ถอดรหัส WannaCry ออกมาได้ เนื่องจาก WannaCry ทำการสร้างกุญแจเข้ารหัสแบบ RSA โดยใช้ Microsoft Cryptographic API ซึ่งหลังจากที่กุญแจเข้ารหัสถูกสร้างและจัดเก็บเรียบร้อยแล้ว API ดังกล่าวจะทำการลบข้อมูลกุญแจนี้ออกไปจากเครื่อง แต่เนื่องด้วยข้อจำกัดบางประการ ทำให้ Windows XP ไม่ได้ลบข้อมูลบางส่วน (คือจำนวนเฉพาะ P และ Q ซึ่งเป็นองค์ประกอบสำคัญในการสร้างกุญแจที่ใช้เข้ารหัส) ออกไป ส่งผลให้ข้อมูลดังกล่าวยังคงถูกเก็บอยู่ใน Memory จนกว่าเครื่องจะถูกรีสตาร์ท โปรแกรม WannaKey จึงทำการกู้ข้อมูลนี้กลับคืนมาเพื่อใช้สร้างกุญแจสำหรับถอดรหัสไฟล์ข้อมูลบนเครื่องนั้นๆ ได้

“ถ้าคุณโชคดี (ที่ Memory ที่เก็บข้อมูลที่เกี่ยวข้องยังไม่ถูก Reallocate หรือถูกลบไป) ตัวเลขจำนวนเฉพาะเหล่านี้ก็จะยังคงอยู่ใน Memory” — Guinet ระบุ

อย่างไรก็ตาม Guinet ระบุว่า ซอฟต์แวร์ดังกล่าวยังไม่ได้ทดสอบกับคอมพิวเตอร์ XP หลายๆ แบบในวงกว้าง และถึงแม้ว่าจะสามารถปลดรหัสไฟล์ข้อมูลได้จริง ก็ยังมีข้อจำกัดหลายประการ เนื่องจาก Windows XP ไม่ได้เป็นเป้าหมายหลักของการแพร่ระบาดของ WannaCry เมื่อสุดสัปดาห์ที่ผ่านมา ดังนั้นจึงยังไม่สามารถการันตีได้ว่าจะปลดล็อกได้ 100%

Matt Suiche นักวิจัยด้านความมั่นคงปลอดภัยและผู้ก่อตั้ง Comae Technologies รายงานว่า หลังจากที่เขาทดสอบใช้ WannaKey กับ Windows XP ของเขา พบว่าไม่สามารถปลดรหัสได้แต่อย่างใด

สำหรับผู้ใช้ Windows XP ที่อาจตกเป็นเหยื่อของ WannaKry สามารถอ่านรายละเอียดและลองดาวน์โหลด WannaKey ไปปลดล็อกเครื่องได้ที่ https://github.com/aguinet/wannakey

ที่มา: https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แจ้งเตือนภัยช่องโหว่ร้ายแรงในอุปกรณ์ IoT และกล้อง CCTV นับล้าน แนะ Patch ทันที

นักวิจัยด้านความมั่นคงปลอดภัยสำหรับระบบ Internet of Things (IoT) โดยเฉพาะจาก Senrio ได้ค้นพบช่องโหว่ใน Open Source Library ที่มีชื่อว่า gSOAP toolkit ซึ่งมีอุปกรณ์ …

SHELLBIND Malware แพร่ระบาด โจมตี NAS Storage ที่ใช้ Linux ทางช่องโหว่ SambaCry

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ออกมาเตือนถึง Malware ใหม่ภายใต้ชื่อ SHELLBIND ที่ทำการโจมตีโดยมุ่งเป้าไปที่ Network-Attached Storage (NAS) ซึ่งใช้ระบบปฏิบัติการ Linux ผ่านทางช่องโหว่ SambaCry