Новая методика получения ключа для восстановления файлов, которые были зашифрованы вымогательской программой Radamant, разработана специалистами компании InfoArmor.
Сейчас эксперты знают о существовании как минимум двух вариантов вредоносной программы: RDM v.1 и RKK v.2. Так же, как и другие типы вымогательских программ, Radamant после внедрения на компьютер жертвы, изучает жесткий диск и осуществляет шифровку файлов, содержащихся на нем. Чтобы восстановить информацию, жертва должна заплатить злоумышленнику выкуп.
Методика, предложенная экспертами InfoArmor, основана на использовании уязвимости в C&C-сервере Radamant, которая дает возможность провести SQL-инъекцию. Данный способ предполагает регистрацию зараженного компьютера в командном центре вредоносной программы путем отправки сформированного специальным образом запроса HTTP POST.
Как утверждают эксперты, в запросе содержится открытый и закрытый ключи дешифрования, а также уникальный идентификатор бота, который был модифицирован для обхода фильтров. После регистрации бота на сервере специалисты, используя сформированный специальным образом HTTP-запрос, изменили статус всех инфицированных устройств на «выкуп оплачен» и расшифровали файлы.
По словам исследователей, при наличии определенных условий база данных может быть полностью восстановлена. Эксперты утверждают, что изменение статуса зараженного компьютера убедит вредоносную программу в том, что выкуп был уплачен. В итоге в распоряжении жертвы окажется закрытый ключ дешифрования, при этом оператор вредоносной программы не будет знать о том, что процесс расшифровки контента был активирован.