Midnight勒索软件工具存在关键漏洞，可实现文件恢复

在不断演变的网络威胁环境中，一种新的勒索软件变种Midnight已经出现，其手法与臭名昭著的Babuk勒索软件如出一辙。

Gen研究人员首次检测到Midnight，它将熟悉的勒索软件机制与新颖的加密修改相结合——其中一些修改无意中为文件恢复打开了大门。这为受害者提供了一个难得的机会，可以在不支付赎金的情况下恢复数据，标志着勒索软件防御能力的重大突破。

技术背景

Midnight显示出明显受到Babuk勒索软件家族启发的迹象，该家族最早出现在2021年初，并因其激进的策略和先进的技术方面而迅速获得声誉。

Babuk作为勒索软件即服务（RaaS）运营，针对医疗保健、金融、政府和其他关键基础设施领域的大型组织。该勒索软件通过HC256和ECDH协议使用强加密，同时采用间歇性文件加密，在保持操作速度的同时最大化破坏。

2021年中，Babuk的操作者意外关闭并泄露了其完整的源代码，包括Windows、ESXI和NAS变种的构建器。这次泄露引发了一波受启发的勒索软件家族，每个家族都修改Babuk的原始设计以适应其特定目标。

Midnight保留了Babuk的大部分核心结构，同时引入了若干修改，最显著的是用于文件加密的加密方案。这些更改虽然可能旨在提高勒索软件的有效性，但无意中引入了弱点，使得在某些条件下文件解密成为可能。

该勒索软件通常将.Midnight或.endpoint扩展名附加到加密文件，尽管在某些配置中，它将扩展名字符串直接附加到文件内容的末尾而不是修改文件名。

加密实现使用ChaCha加密文件内容，使用RSA加密ChaCha20密钥。RSA加密的密钥及其SHA256哈希以一致的格式附加到每个加密文件的末尾，这在已知样本中是一致的。

为了提高性能，Midnight采用间歇性加密，这是一种从Babuk继承但通过更细粒度的基于文件大小的逻辑来改进的技术，以确定哪些部分需要加密。这种方法允许快速处理大文件，同时使它们无法使用。

安全研究人员已经确定了Midnight感染的几个关键指标。该勒索软件创建一个名为“Mutexisfunnylocal”的互斥体，以防止多个实例同时运行。

在受影响的目录中会放置一个名为“How To Restore Your Files.txt”的勒索说明。一些样本根据配置创建被识别为“Report.Midnight”或“debug.endpoint”的调试日志。

早期的Midnight变种主要针对高价值文件，如数据库、备份和存档，扩展名包括.mdf、.ndf、.bak、.dbf和.sql。最近的变种扩大了范围，现在加密几乎所有文件类型，除了可执行文件如.exe、.dll和.msi文件。

该勒索软件接受几个命令行参数来控制行为，包括将扩展名字符串附加到文件内容、启用网络挂载卷加密以及定位特定目录的选项。

安全供应商已经发布了专门设计用于解决Midnight加密缺陷的解密工具。这些解密器通过基于向导的过程指导用户识别加密位置、验证文件完整性并在无需支付赎金的情况下恢复数据。