ข่าวดี Windows XP “อาจ” ปลดล็อก WannaCry ได้โดยไม่ต้องจ่ายค่าไถ่

Adrien Guinet นักวิจัยด้านความมั่นคงปลอดภัยจาก Quarkslab ฝรั่งเศส ทำการพัฒนาซอฟต์แวร์ Decryptor ที่ช่วยให้เขาสามารถดึงไฟล์กุญแจที่ใช้ถอดรหัส WannaCry เพื่อกู้ไฟล์ข้อมูลบน Windows XP ที่ถูกเข้ารหัสกลับคืนมาได้ ส่งผลให้เหยื่อ “อาจ” ไม่จำเป็นต้องจ่ายค่าไถ่ $300 หรือ $600 ให้แก่แฮ็คเกอร์อีกต่อไป

Guinet ระบุว่า ซอฟต์แวร์ที่เขาพัฒนาขึ้นมีชื่อว่า “WannaKey” ซึ่งถูกออกแบบมาสำหรับ Windows XP โดยเฉพาะ เงื่อนไขในการทำงานของ WannaKey คือหลังจากที่เครื่องคอมพิวเตอร์ติด Ransomware แล้ว เครื่องจะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน

ที่ Guinet สามารถกู้ไฟล์กุญแจที่ใช้ถอดรหัส WannaCry ออกมาได้ เนื่องจาก WannaCry ทำการสร้างกุญแจเข้ารหัสแบบ RSA โดยใช้ Microsoft Cryptographic API ซึ่งหลังจากที่กุญแจเข้ารหัสถูกสร้างและจัดเก็บเรียบร้อยแล้ว API ดังกล่าวจะทำการลบข้อมูลกุญแจนี้ออกไปจากเครื่อง แต่เนื่องด้วยข้อจำกัดบางประการ ทำให้ Windows XP ไม่ได้ลบข้อมูลบางส่วน (คือจำนวนเฉพาะ P และ Q ซึ่งเป็นองค์ประกอบสำคัญในการสร้างกุญแจที่ใช้เข้ารหัส) ออกไป ส่งผลให้ข้อมูลดังกล่าวยังคงถูกเก็บอยู่ใน Memory จนกว่าเครื่องจะถูกรีสตาร์ท โปรแกรม WannaKey จึงทำการกู้ข้อมูลนี้กลับคืนมาเพื่อใช้สร้างกุญแจสำหรับถอดรหัสไฟล์ข้อมูลบนเครื่องนั้นๆ ได้

“ถ้าคุณโชคดี (ที่ Memory ที่เก็บข้อมูลที่เกี่ยวข้องยังไม่ถูก Reallocate หรือถูกลบไป) ตัวเลขจำนวนเฉพาะเหล่านี้ก็จะยังคงอยู่ใน Memory” — Guinet ระบุ

อย่างไรก็ตาม Guinet ระบุว่า ซอฟต์แวร์ดังกล่าวยังไม่ได้ทดสอบกับคอมพิวเตอร์ XP หลายๆ แบบในวงกว้าง และถึงแม้ว่าจะสามารถปลดรหัสไฟล์ข้อมูลได้จริง ก็ยังมีข้อจำกัดหลายประการ เนื่องจาก Windows XP ไม่ได้เป็นเป้าหมายหลักของการแพร่ระบาดของ WannaCry เมื่อสุดสัปดาห์ที่ผ่านมา ดังนั้นจึงยังไม่สามารถการันตีได้ว่าจะปลดล็อกได้ 100%

Matt Suiche นักวิจัยด้านความมั่นคงปลอดภัยและผู้ก่อตั้ง Comae Technologies รายงานว่า หลังจากที่เขาทดสอบใช้ WannaKey กับ Windows XP ของเขา พบว่าไม่สามารถปลดรหัสได้แต่อย่างใด

สำหรับผู้ใช้ Windows XP ที่อาจตกเป็นเหยื่อของ WannaKry สามารถอ่านรายละเอียดและลองดาวน์โหลด WannaKey ไปปลดล็อกเครื่องได้ที่ https://github.com/aguinet/wannakey

ที่มา: https://arstechnica.com/security/2017/05/windows-xp-pcs-infected-by-wcry-can-be-decrypted-without-paying-ransom/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle ออกแพตช์ 254 ช่องโหว่ประจำเดือนเมษายน แนะผู้ใช้ควรอัปเดต

Oracle แพตช์ช่องโหว่กว่า 254 รายการซึ่ง 153 รายการ กระทบกับฝั่งผลิตภัณฑ์ที่สำคัญต่อธุรกิจ เช่น E-Business Suite, Fusion Middleware, Financial Service Application, …

Microsoft นำเทคโนโลยี Anti-Phishing ให้ใช้งานผ่าน Chrome Extension

Microsoft ได้ออก Chrome Extension ที่ชื่อ ‘Windows Defender Browser Protection’ ซึ่งภายในมีเทคโนโลยีเพื่อป้องกันการล่อลวงผู้ใช้งานเข้าเพจอันตรายด้วยการแสดงผลหน้าเพจเป็นสีแดงเมื่อกำลังเข้าสู่ลิ้งก์ที่ไม่น่าวางใจ