Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.

Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.

Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.

Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора. 

Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.

Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями. 

Midnight - один из таких вариантов.

Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.

В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.

В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».

Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.

Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.

Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.

Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.

Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.

Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.

Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.

Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.

Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.

Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.

Другие технические подробности и практическое руководство по дешифратор - в отчете.