เหล่าผู้ทื่ใช้งาน Windows XP คงจะใจชื้นขึ้นเมื่อ Security Researcher หาทางที่จะกู้ไฟล์ใน Windows XP ที่ถูก WannaCry เข้ารหัสได้ โดยไม่จำเป็นต้องจ่ายเงินให้กับ Hacker แต่อย่างใด เนื่องด้วยความไม่ปลอดภัยของระบบการทำงานของ Windows XP

Adrien Guinet ซึ่งเป็น security researcher  บริษัทวิจัยในประเทศฝรั่งเศส Quarkslab พบว่าเค้าสามารถ restored file ที่ถูกเข้ารหัสโดย WannaCry ใน Windows XP ได้หากเครื่องนั้นไม่ได้ถูก restart ไปเสียก่อน โดย Andrien กล่าวว่า เนื่องด้วย WannaCry มีการสร้าง RSA key โดยใช้ Windows Crypto API ใน Windows XP สำหรับนำไปเข้ารหัสไฟล์ภายในเครื่อง แต่ function CryptReleaseContext ใน Windows XP ดันไม่ได้ทำการลบค่า “prime number” ที่ใช้ในการสร้าง private key ออกจากเครื่อง ทำให้หากเราหาค่า “prime number” ที่ถูกฝังอยู่ใน memory กลับมาได้ จากนั้นจึงเอาค่า prime number ไปสร้าง RSA Private key กลับมา เพื่อนำมาถอดรหัสไฟล์ต่างๆอีกที

แต่วิธีการนี้ไม่สามารถทำได้ใน Windows 10 เพราะ function CryptReleaseContext จะทำการ cleanup memory ด้วย ทำให้ไม่สามารถกู้กลับมาได้ ส่วน Windows ตัวอื่นๆทาง Andrienไม่ได้ระบุไว้ว่าจะสามารถกู้ prime number จาก Windows ตัวอื่นได้หรือไม่ ต้องขึ้นอยู่กับการทำงานของ CryptReleaseContext ในแต่ละ Windows โดยทาง Andrien กล่าวปิดท้ายว่า “หากคุณโชคดี memory ในส่วนนั้นไม่ได้ถูกลบหรือ reallowcate ให้โปรเซสอื่นไปใช้ซะก่อน ก็อาจจะนำ prime number นั้นกลับมาได้”

นั่นหมายความว่าต่อให้​เป็น​Windows​ XP​ ก็ไม่ชัวร์ว่าจะกู้ได้นะครับ​ หากว่า​ memory ส่วนนั้นถูกเขียนทับไปซะก่อนก็หมดสิทธิ​เอา​ Prime number​ ออกมาได้เหมือนกันครับ

หากใครสนใจที่จะทดสอบสามารถ download เครื่องมือจาก link ด้านล่างได้เลยครับ

  • Link สำหรับ download เครื่องมือหา prime number และสร้าง RSA Private key
  • Link สำหรับ download เครื่องมือถอดรหัสไฟล์โดยใช้ RSA private key ที่เราสร้างกลับขึ้นมา