ข่าว update เพิ่มเติมจากการที่พบวิธีการถอดรหัสไฟล์ใน Windows XP โดยการหาค่า prime number ที่นำไปใช้สร้าง private key สำหรับการถอดรหัสไฟล์ ตอนนี้มีการทดสอบเพิ่มเติมพบว่าสามารถทำใน Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 ได้อีกด้วย

หลังจากที่นาย Andrien ได้ทำการสร้างเครื่องมือสำหรับการหาค่า prime number ที่ถูกใช้ทำการสร้าง RSA key ในการเข้ารหัสของ WannaCry จาก memory ออกมาได้สำเร็จ และปล่อยเครื่องมือที่ชื่อว่า WannaKey ออกมา ก็ได้มี security researcher ทำตามหลายๆคนด้วยกัน ล่าสุดนาย Benjamin Delpy (@gentilkiwi) ได้พัฒนา application ที่หลักการเดียวกับ WannaKey แต่มีการปรับ format output ให้เข้ากับโปรแกรม WannaDecrypt ของนาย Benjamin เอง จากนั้นจึงรวมเข้าด้วยกันกลายเป็น Wanakiwi ซึ่งเป็นแบบ all-in-one คือทำทุกอย่างจบด้วยตัวเอง ไม่ว่าจะเป็นการหา prime number, การสร้าง private key จนกระทั่งไปถึงการไล่ decrypt ไฟล์ทั้งหมดที่ถูกเข้ารหัสโดย WannaCry

ซึ่งทางนาย Matt Suiche ได้ทำการทดสอบแล้วผลปรากฏว่าใช้ได้ทั้งใน Windows XP, Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 เลยทีเดียว แต่เงื่อนไขสำคัญยังเหมือนเดิมคือ "ห้ามปิดหรือ restart เครื่องหลังจากติด WannaCry แล้วโดยเด็ดขาด" อีกทั้งห้ามปล่อยเวลาให้ผ่านนานเกินไป ไม่งั้น memory ส่วนที่เก็บค่า prime number นั้นอาจถูกลบหรือถูกเขียนทับโดย process อื่นไปแล้วก็เป็นได้

วิธีการใช้งานคือ

1. Download Wanakiwi
https://github.

คล้ายๆกับการดูหนัง series ก็ว่าได้ เมื่อมีการเปิดเผยจาก Proofpoint ว่าเจอ malware ที่โจมตีโดยใช้
MS17-010 ไม่มีผิด แต่เป็นการฝังตัวของ Application เพื่อขุดเงิน cryptocurrency (ประมาณ Bitcoin) ให้กับ Hacker ก่อนที่จะเริ่มมีการระบาด WannaCry ด้วยซำ้ โดย malware ตัวนั้นมีชื่อว่า Adylkuzz

Adylkuzz เป็น Malware ที่โจมตีและแพร่กระจายตัวเหมือนกับ WannaCry คือการโจมตีไปเป็น MS17-010 แต่แตกต่างกันที่ Adylkuzz จะไม่ได้มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่จะเน้นเรื่องการแอบรันโปรแกรมขุดเงิน cryptocurrency แบบเงียบๆในเครื่องของเหยื่อแทน โดย Proofpoint เชื่อว่า Adylkuzz เริ่มกระจายตัวตั้งแต่วันที่ 2 พค. 2017 เผลอๆอาจจะเป็นวันที่ 24 เมษายน 2017 ซึ่งก่อน WannaCry แพร่กระจายถึง 2 สัปดาห์
การพบ Adylkuzz ถือเป็นเรื่องบังเอิญด้วยซ้ำ หลังจากที่ WannaCry เริ่มแพร่กระจาย, Proofpoint พยายามตั้ง Honeypot ดักล่อ WannaCry เพื่อนำมาวิเคราะห์แต่กลับกลายเป็นได้ Malware ที่พฤติกรรมการแพร่กระจายคล้ายๆกับ WannaCry แทน ซึ่งนั่นก็คือ Adylkuzz

เมื่อ Adylkuzz ถูกติดตั้งลงไปในเครื่องของเหยื่อเรียบร้อยแล้วก็จะติดต่อไปยังเครื่อง C&C ของ Hacker เพื่อดึงตัวเครื่องมือขุด cryptocurrency และดึงขั้นตอนการขุดมา โดยในตัวอย่างที่พบจะเป็นการขุด cryptocurrency ที่ชื่อว่า Monero (คล้ายๆกับ Bitcoin) โดย ณ เวลาตอนนี้ 7.58 Monero จะมีค่าประมาณ 205$

ซึ่งบ่งบอกว่า ไม่ใช่แค่มี WannaCry เท่านั้นที่พยายามโจมตีและแพร่กระจายไปย้ง 445 (SMBv1) ดังนั้นหากเป็นไปได้ก็รีบ patch รีบป้องกันให้เร็วที่สุดเท่าที่จะได้ทำได้นะครับ

ที่มา: proofpoint

พบตัว Customize WannaCrypt0r ชื่อว่า Aron WanaCrypt0r 2.0 Generator
หลังจากที่มีการปล่อย WannaCry ให้อาละวาดมาตั้งแต่วันศุกร์ (12/05/2017) ที่ผ่านมา ก็ได้มีการพบว่า Ransomware Developer ต่างๆเริ่มสร้างของตัวเองขึ้นมา แต่ครั้งจะไปเขียนเองก็เสียเวลาก็เลยกลายเป็นนำ WannaCry มาดัดแปลงแทน โดยใช้เครื่องมือที่ชื่อว่า Aron WanaCrypt0r 2.0 Generator 1.0
Aron WanaCrypt0r 2.0 Generator v1.0 เป็นเครื่องมือที่นำเอา WannaCry มาแก้ไขหน้าตาให้กลายเป็น version ใหม่ขึ้นมา ซึ่งโปรแกรมนี้จะทำให้ผู้ใช้งานสามารถที่จะเปลี่ยนแปลงหน้าตาของ WannaCry lock screen ดัดแปลงได้ทั้งข้อความที่จะแสดง, รูปภาพ, และสีของ lock screen
ทั้งนี้ Aron WanaCrypt0r 2.0 Generator v1.0 ยังไม่สามารถดัดแปลงส่วน execute ของ WannaCry ได้ครับ ดังนั้น algorithm ในการเข้ารหัส หรือลักษณะการทำงานใดๆ ยังไม่สามารถเปลี่ยนแปลงได้นั่นเอง กล่าวคือถึงแม้ว่าจะเปลี่ยนภาษาหรือว่าเปลี่ยนเลข version ของตัว lock screen แต่ก็ยังคงทำงานเหมือนๆกับ WannaCry นั่นเอง
ทั้งนี้มีการเปลี่ยน text การขู่เป็นภาษาไทยด้วย แต่ version ดังกล่าวยังไม่มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่นั่นหมายความว่าอาจจะมีคนที่เป็นคนไทยได้เครื่องมือ generator ดังกล่าวไปแล้วก็เป็นได้

ที่มา : bleepingcomputer