หลัง WannaCry (WannaCrypt) ระบาดเป็นวงกว้าง นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องเข้ารหัสกันได้บ้างหรือไม่ ตอนนี้ก็มีแนวทางออกมาแล้ว แม้จะใช้ได้เฉพาะ Windows XP และต้องอาศัยโชคช่วยประมาณหนึ่ง

WannaCry ใช้ Crypto API ของวินโดวส์เพื่อสร้างคู่กุญแจลับ/กุญแจสาธารณะ ในการเข้ารหัสไฟล์ในเครื่องของเหยื่อ เมื่อเข้ารหัสเรียบร้อยแล้วก็เรียกฟังก์ชั่น CryptDestroyKey และ CryptReleaseContext เพื่อทำลายกุญแจทิ้งอย่างถูกต้อง แต่ก่อนหน้า Windows 10 ฟังก์ชั่น CryptReleaseContext กลับไม่ทำลายตัวเลขจำนวนเฉพาะที่ใช้สร้างกุญแจออกจากหน่วยความจำ ทำให้หลังจากโปรแกรมรันเสร็จแล้วตัวเลขจำนวนเฉพาะอาจจะลอยอยู่ในหน่วยความจำสักแห่ง หากไม่ได้ถูกโปรแกรมอื่นใช้หน่วยความจำตำแหน่งเดียวกันแล้วเขียนข้อมูลทับไปเสียก่อน

Adrien Guinet เขียนโปรแกรม WannaKey เพื่อช่วยสแกนหาเลขจำนวนเฉพาะจากหน่วยความจำ จากนั้น Benjamin Delpy พัฒนาโปรแกรม WanaKiwi เพื่อหาเลขจำนวนเฉพาะ, สร้างกุญแจกลับขึ้นมา, และถอดรหัสไฟล์ให้ในตัว

WannaKiwi ทำงานบน Windows XP, Windows 7, Windows Vista, Windows Server 2003, และ Windows Server 2008 แต่อย่าลืมว่าต้องอาศัยโชคอยู่พอสมควร

ที่มา – The Hacker News, The Register

Source:  www.blognone.com

Tagged with:

Filed under: IT News

Like this post? Subscribe to my RSS feed and get loads more!