Исследователи нашли слабое место в новом шифровальщике Midnight, который построен на базе старых исходных кодов Babuk. Вредонос позиционируется как «продвинутая» версия малвари, однако попытки ускорить и усилить процесс шифрования обернулись провалом: специалистам Norton удалось создать бесплатный дешифровщик для пострадавших данных.
Эксперты рассказывают, что Midnight создан на базе исходного кода Babuk, который еще в 2021 году попал в открытый доступ, после чего на его основе были созданы десятки вредоносов.
Midnight повторяет структуру своего «прародителя» почти полностью, однако разработчики решили изменить схему шифрования: малварь использует ChaCha20 для шифрования содержимого файлов и RSA для шифрования ключа ChaCha20. Однако исследователи обнаружили ошибку, связанную с использованием ключей RSA, которая сначала позволила частично восстановить данные, а затем создать полноценный дешифровщик. Инструмент бесплатный и уже выложен в открытый доступ.
Как и Babuk, Midnight шифрует только части файлов, чтобы действовать быстрее и успеть парализовать систему. Объем шифруемых блоков зависит от размера файла — большой документ или БД становятся нечитаемыми почти мгновенно. В последних сборках малварь расширила список целей и охватывает практически все форматы, кроме исполняемых .exe, .dll и .msi.
На зараженных устройствах в итоге появляются файлы с расширениями .midnight или .endpoint, а иногда эта метка вшивается прямо в содержимое файла. Жертве оставляют стандартную записку с требованием выкупа (How To Restore Your Files.txt), а порой даже лог вроде report.midnight или debug.endpoint, по которому видно, как работал скрипт.
Инструмент Norton доступен в версиях для Windows x86 и x64 и не требует особых навыков: он ищет зашифрованные данные, создает резервные копии и начинает процесс восстановления. Специалисты советуют не отключать создание бэкапов, чтобы избежать случайных потерь данных.
