ถือเป็นข่าวดีสำหรับบางคนที่ติด ransomware ชื่อดังอย่าง Bad Rabbit ทาง Kaspersky พบการทำงานที่ผิดพลาดของ Bad Rabbit เล็กน้อยของตัวผู้เขียนเอง ทำให้สามารถกู้ไฟล์กลับคืนมาได้โดยไม่จำเป็นต้องจ่ายเงินแต่อย่างใด

TL;DR: สรุปคือการ restore Shadow Volume Copy มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้ แต่อาจจะได้ไม่หมดนั่นเองครับ

ทาง Kaspersky กล่าวว่าพบการทำงานที่ผิดพลาด 2 อย่างใน module ของ Bad Rabbit นั่นคือ

1. Bad Rabbit ไม่ได้ลบไฟล์ shadow volume copy ซึ่งเป็นไฟล์ backup ของ Microsoft โดยการ restore ไฟล์ด้วย shadow volume copy สามารถทำได้ง่าย แต่ทาง Kaspersky ก็ไม่ได้การันตีว่าจะสามารถกู้คืนทั้งหมดกลับมาได้แบบ 100%

2. ในส่วน password สำหรับการถอดรหัสไฟล์ ทาง Kaspersky พบว่าสามารถดึงรหัสผ่านของการ boot เข้าเครื่องได้ในขณะที่เครื่องกำลัง boot เข้า custom boot loader ซึ่งหากใส่ password ดังกล่าวเข้าไปก็จะสามารถเข้าเครื่องได้ แต่พบว่าไฟล์ภายในนั้นได้ถูกเข้ารหัสไปหมดแล้ว แต่อย่างไรก็ตามทาง Kaspersky กลับพบการทำงานที่ผิดพลาดของ dispci.exe ซึ่งเป็นตัวที่ใช้ในการ password ออกจาก memory หากช่วงขณะนั้นได้กระทำการดึง password ที่อยู่ใน memory ก่อนที่จะถูกลบทิ้งก็จะสามารถนำมาใช้ถอดรหัสไฟล์ได้ด้วย

Source:: BleepingComputer