Tags:
Node Thumbnail

หลัง WannaCry (WannaCrypt) ระบาดเป็นวงกว้าง นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องจ่ายเงินกันได้บ้างหรือไม่ ตอนนี้ก็มีแนวทางออกมาแล้ว แม้จะใช้ได้เฉพาะ Windows XP และต้องอาศัยโชคช่วยประมาณหนึ่ง

WannaCry ใช้ Crypto API ของวินโดวส์เพื่อสร้างคู่กุญแจลับ/กุญแจสาธารณะ ในการเข้ารหัสไฟล์ในเครื่องของเหยื่อ เมื่อเข้ารหัสเรียบร้อยแล้วก็เรียกฟังก์ชั่น CryptDestroyKey และ CryptReleaseContext เพื่อทำลายกุญแจทิ้งอย่างถูกต้อง แต่ก่อนหน้า Windows 10 ฟังก์ชั่น CryptReleaseContext กลับไม่ทำลายตัวเลขจำนวนเฉพาะที่ใช้สร้างกุญแจออกจากหน่วยความจำ ทำให้หลังจากโปรแกรมรันเสร็จแล้วตัวเลขจำนวนเฉพาะอาจจะลอยอยู่ในหน่วยความจำสักแห่ง หากไม่ได้ถูกโปรแกรมอื่นใช้หน่วยความจำตำแหน่งเดียวกันแล้วเขียนข้อมูลทับไปเสียก่อน

Adrien Guinet เขียนโปรแกรม WannaKey เพื่อช่วยสแกนหาเลขจำนวนเฉพาะจากหน่วยความจำ จากนั้น Benjamin Delpy พัฒนาโปรแกรม WanaKiwi เพื่อหาเลขจำนวนเฉพาะ, สร้างกุญแจกลับขึ้นมา, และถอดรหัสไฟล์ให้ในตัว

WannaKiwi ทำงานบน Windows XP, Windows 7, Windows Vista, Windows Server 2003, และ Windows Server 2008 แต่อย่าลืมว่าต้องอาศัยโชคอยู่พอสมควร

ที่มา - The Hacker News, The Register

Get latest news from Blognone

Comments

By: lingjaidee
ContributoriPhoneAndroid
on 19 May 2017 - 19:15 #987948
lingjaidee's picture

สร้างกุญแขออกจากหน่วยความจำ

กุญแ


my blog

By: panurat2000
ContributorSymbianUbuntuIn Love
on 20 May 2017 - 09:22 #988009 Reply to:987948
panurat2000's picture

นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องเข้ารหัสกันได้บ้างหรือไม่

ถอดรหัสไฟล์โดยไม่ต้องเข้ารหัส ?

By: Kittichok
Contributor
on 19 May 2017 - 19:16 #987949

อ่านแล้วรู้สึกยิ้มนิด ๆ คนที่โดนโจมตีเพราะยังใช้ Windows XP ที่มีช่องโหว่ แต่เพราะข้อบกพร่องใน Windows XP นี่แหละที่อาจช่วยแก้ไขสถานการณ์ได้ ถึงอย่างไรก็ไปใช้ระบบปฏิบัติการรุ่นใหม่เพื่อไม่ให้โดนโจมตีจะดีกว่านะ

By: AmidoriA
UbuntuWindows
on 19 May 2017 - 19:40 #987955
AmidoriA's picture

แปลว่าติดแล้วห้ามปิดคอมด้วยสินะครับ ตัวแก้ตัวนี้ถึงจะใช้ได้ ไม่งั้น memory ก็หายไปอยู่ดี


:v

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 19 May 2017 - 22:39 #987982 Reply to:987955
Ford AntiTrust's picture

ยังไม่ปิดคอมไม่พอครับ ต้องภาวนาว่าพื้นที่หน่วยความจำที่เก็บค่าจำนวน้ฉพาะตรงนั้นต้องไม่ถูกเขียนทับไปแล้วด้วย

By: Holy
ContributorAndroidWindowsIn Love
on 19 May 2017 - 20:04 #987960
Holy's picture

ใช้ XP => โดนไวรัส => อ๊ะ จำได้ว่ามีโปรแกรมถอดรหัส => เปิด Chrome ขึ้นมาเพื่อโหลดโปรแกรม => Ram ถูกเขียนทับใหม่เกลี้ยง.....

By: MaxxIE
iPhoneAndroidUbuntuWindows
on 19 May 2017 - 20:23 #987963 Reply to:987960
MaxxIE's picture

ลั่น 5555

By: ZiiT
AndroidWindows
on 19 May 2017 - 20:29 #987964

เหมือนจะใช้บน Windows 7 ได้ด้วยนะครับ https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d