كشفت Norton، التابعة لشركة Gen Digital، عن ثغرة أمنية في برنامج الفدية الجديد Midnight المبني على الشيفرة المسربة من Babuk، ما أتاح لخبرائها تطوير أداة مجانية لفك التشفير تمكن الضحايا من استعادة ملفاتهم من دون دفع فدية.
أوضح فريق البحث في Norton أن الخطأ نتج أثناء محاولة مطوري Midnight تحسين سرعة وقوة التشفير. لكن التعديل أضعف البنية الأصلية وجعل من الممكن استعادة المفاتيح المستخدمة في عملية القفل، الأمر الذي قاد إلى بناء أداة Decryptor مجانية متاحة الآن عبر موقع Norton، بنسختين 32 و64 بت لأنظمة Windows. وتساعد الأداة المستخدمين في تحديد الملفات المشفرة وإنشاء نسخ احتياطية قبل البدء في فك التشفير، مع توصية الشركة بترك خيار النسخ الاحتياطي مفعلاً لتجنب أي فقد للبيانات أثناء عملية الاستعادة.
اعتمدت Midnight في تصميمها على الهيكل الأساسي لـ Babuk الذي ظهر في عام 2021 قبل تسريب شيفرته المصدرية، ما أدى إلى ظهور سلالات متعددة من برامج الفدية المشابهة. وسعى مطورو Midnight إلى تحسين خوارزميات Babuk باستخدام مزيج من ChaCha20 وRSA، لكن خللاً في تطبيق مفاتيح RSA أتاح إمكانية فك جزء من البيانات، وهو ما استغله فريق Norton لتحويل الثغرة إلى طريقة عملية لاسترجاع الملفات.
تعمل Midnight بطريقة تشبه Babuk، إذ تشفر أجزاء محددة من الملفات بدلاً من تشفيرها بالكامل لتقليل الوقت مع الإبقاء على أثر التخريب في النظام. ويختار البرنامج الملفات المستهدفة حسب حجمها، مما يمكنه من تعطيل الأنظمة بسرعة. وتشير العينات الحديثة إلى أن البرنامج توسع ليشمل معظم أنواع الملفات باستثناء التنفيذية منها مثل exe وdll وmsi.
عادةً ما تظهر الملفات المصابة بامتدادات .Midnight أو .endpoint، وقد يضيف البرنامج هذه السلاسل داخل البيانات نفسها. كما يترك ملفاً بعنوان How To Restore Your Files.txt يحتوي على تعليمات دفع الفدية، وأحياناً ملف سجل تصحيح مثل Report.Midnight أو debug.endpoint.
