ผู้ใช้เฟสบุ๊กนามว่า Phitchayaphong Tantikul ได้ทำการทดลองการถอดรหัสไฟล์ที่ถูกแรนซั่มแวร์ WannaCry โจมตี โดยใช้โปรแกรมที่ชื่อว่า Wanakiwi.exe ในการรันงานผ่านทางระบบคอมมานด์พรอมพ์ ที่ท้ายสุดก็สามารถถอดรหัสไฟล์ที่โดนล็อกได้ เราไปดูวิธีการกันเลย
//////////////////////////////////
ทดลองถอดรหัส WannaCry ด้วยเครื่องมือ WanaKiwi
วิธีใช้
1. ก๊อป public key ที่มีชื่อไฟล์ 00000000.pky (จาก C:\intel\ชื่อมั่วๆ\00000000.pky) ไว้ที่เดียวกันกับตัวโปรแกรม
2. หา process id ของ tasksche.exe
3. เปิด cmd เพื่อสั่งโปรแกรมทำงาน ตามด้วย process id ที่หาได้
โปรแกรมดาวน์โหลดจาก
https://github.com/gentilkiwi/wanakiwi/releases
พัฒนาโดย Benjamin Delpy @gentilkiwi
หมายเหตุ:
– ใช้ได้กับ windows XP, 7, Vista, 2003, 2008 ในกรณีที่ *ยังไม่ได้มีการปิดหรือรีบู๊ตเครื่อง* หลังจากที่โดนมัลแวร์
– ไฟล์ 00000000.pky อาจจะอยู่ที่อื่น ให้ดูจาก path ของโปรแกรม tasksche.exe เป็นหลัก โดยอาจจะดูจาก task manager หรือใช้โปรแกรม regedit ดูที่ตำแหน่ง “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ค่ามั่ว: <ransomware directory>\tasksche.exe”
ขอบคุณที่มา https://www.facebook.com/ptantiku/videos/vb.655452692/10154304093222693