นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ค้นพบว่าโค้ดของ WannaCrypt/WannaCry นั้นถูกพัฒนาขึ้นมาโดยมีข้อผิดพลาดจำนวนมาก ทำให้สามารถกู้คืนไฟล์ต่างๆกลับมาได้ด้วยวิธีการหลากหลาย
สิ่งที่เหล่านักวิจัยค้นพบก็คือ ลำดับการทำงานของ WannaCry นั้นเกิดขึ้นด้วยการเริ่มต้นอ่านไฟล์ที่ต้องการเข้ารหัสก่อน จากนั้นจึงทำการเข้ารหัสและเซฟไฟล์เหล่านั้นในนามสกุล .WNCRYT แล้วจึงค่อยทำการย้าย .WNCRYT ไปเป็น .WNCRY ก่อนที่จะลบไฟล์ต้นฉบับ ด้วยลำดับการทำงานแบบนี้ก็ทำให้เหยื่อของ WannaCry มีหวังที่จะกู้ข้อมูลต่างๆ ขึ้นมาได้
กรณีที่ไฟล์อยู่ใน System Drive
สำหรับไฟล์ที่อยู่ในโฟลเดอร์สำคัญอย่างเช่น Desktop หรือ Documents นั้น ไฟล์ต้นฉบับทั้งหมดจะถูกเขียนทับด้วยข้อมูลสุ่มก่อนที่จะทำการลบออกไป ทำให้ข้อมูลกลุ่มนี้ไม่สามารถถูกกู้คืนมาได้
สำหรับไฟล์ที่อยู่นอกเหนือจากโฟลเดอร์สำคัญเหล่านั้น ไฟล์ต้นฉบับทั้งหมดจะถูกย้ายไปอยู่ใน %TEMP%\%d.WNCRYT แทน (%d แทนค่าตัวเลข) ซึ่งไฟล์ในนี้จะเป็นไฟล์ต้นฉบับที่ไม่ถูกเขียนข้อมูลใดๆ ทับเลย แล้วจึงค่อยถูกลบออกไป ดังนั้นหากใช้ซอฟต์แวร์กู้ข้อมูลก็จะสามารถดึงข้อมูลเหล่านี้กลับมาได้
กรณีที่ไฟล์อยู่ใน Drive อื่น
WannaCry จะสร้างโฟลเดอร์ $RECYCLE และทำการตั้งค่า hidden+system attribute เอาไว้ ทำให้ Windows File Explorer เปิดหาไฟล์เหล่านี้แล้วมองไม่เห็น จากนั้นจึงค่อยย้ายไฟล์ต้นฉบับก่อนเข้ารหัสมายังโฟลเดอร์เหล่านี้แทนหลังจากที่ทำการเข้ารหัสและเซฟเป็นไฟล์นามสกุลใหม่เสร็จแล้ว
ทั้งนี้ โค้ดของ WannaCry เองก็มีข้อผิดพลาดในส่วนของการทำ Synchronization ในหลายกรณี ทำให้ไฟล์ต้นฉบับบางกลุ่มยังคงตกค้างอยู่ในโฟลเดอร์เดิม ไม่ได้ถูกย้ายไปไหนทั้งนั้น
นอกจากนี้ ไฟล์ต้นฉบับเหล่านี้ยังถูกลบทิ้งด้วยวิธีการที่ไม่ปลอดภัย ทำให้มีโอกาสที่จะถูกกู้คืนมาได้โดยซอฟต์แวร์กู้คืนข้อมูลเช่นกัน
ไฟล์แบบ Read-only จะไม่ถูกเข้ารหัสเลย
โค้ดของ WannaCry นั้นจะไม่ทำการเข้ารหัสไฟล์ที่ตั้งไว้เป็น Read-only เลยเพราะมีบั๊กในส่วนนี้ ทำให้ไฟล์เหล่านี้มีไฟล์ที่ถูก Copy เพิ่มมาอีกชุดเท่านั้น และทำการซ่อนไฟล์ต้นฉบับให้เป็นแบบ Hidden ไป
สรุป WannaCry เขียนมาไม่ดีพอ ทำให้ไฟล์จำนวนมากสามารถถูกกู้คืนขึ้นมาได้
สำหรับผู้ดูแลระบบที่ถูกโจมตีด้วย WannaCry นั้น ก็ถือว่ามีโอกาสมากขึ้นในการกู้คืนไฟล์กลับมาผ่านทาง Hidden Folder, Hidden File, Temporary Folder และการใช้ Recovery Tool ต่างๆ กู้กลับมา อย่างไรก็ดีหลังจากกู้ข้อมูลกลับมาได้แล้ว ก็ไม่ควรนิ่งนอนใจใช้เครื่องเดิมต่อไปนะครับ เพราะ WannaCry ทิ้ง Backdoor เอาไว้ด้วย แนะนำให้ย้ายข้อมูลออกไปแล้วลงเครื่องใหม่พร้อม Patch ให้ปลอดภัย และสำรองข้อมูลเสริมเอาไว้ด้วยจะดีที่สุดครับ
สำหรับรายละเอียดฉบับเต็มสามารถอ่านได้ที่ https://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/ ครับ
ที่มา: https://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/
