Сотрудник компании Emsisoft Фабиан Восар (Fabian Wosar) сумел «вскрыть» алгоритм шифрования первых двух версий Radamant Ransomware Kit. Неизвестного автора распространенного вымогательского ПО эта новость совсем не обрадовала, и он нашел способ высказать исследователю все, что о нем думает.
Первая версия вымогателя Radamant превращала все пользовательские данные в зашифрованные .RDM-файлы.Бесплатный инструмент (.exe) для расшифровки пострадавших данных был опубликован сотрудниками Emsisoft несколько дней назад, накануне Рождества.
Автор шифровальщика был вынужден начать экстренную работу над новой версией малвари и, судя по всему, был очень зол на Фабиана Восара, который сумел разобраться в работе алгоритма вредоноса. Неизвестный хакер добавил в код второй версии «пару ласковых» в адрес Восара в частности и компании Emsisoft в целом.
Автор малвари был так зол на исследователя и компанию, что URL адрес, на который Radamant v2 отправляет своих жертв, это emisoftsucked.top. Вторая версия малвари превращает пользовательскую информацию в зашифрованные файлы .RRK.
Однако оскорблениями код не улучшишь. Спустя два дня после выхода второй «улучшенной» версии Radamant, Восар опубликовал новый бесплатный инструмент для расшифровки данных.
Эксперт отмечает, что обе версии вредоноса написаны скверно, качество кода у них весьма низкое, и поэтому файлы зачастую оказываются повреждены в ходе шифрования и расшифровки данных. Однако Восар сумел справиться и с этой проблемой. Бесплатная тулза DecryptRadamant (.exe) способна восстанавливать поврежденные вымогателем файлы.
Оскорбления со стороны автора Radamant совсем не смутили Восара:
«Не уверен, как всё это работает в ваших кругах, но в кругах, где вращаюсь я, оскорбления со стороны автора малвари расцениваются как самый высокий комплимент, так что спасибо большое», — пишет исследователь.
Согласно данным Bleeping Computer, автор вымогательского ПО не сдается и теперь пытается продавать Radamant на черном рынке в формате вымогатель-как-сервис. Хакер оценивает аренду своей платформы для доставки вымогательского ПО в $1000 в месяц. Двухдневный тест-драйв обойдется в $100. Панель администратора очень проста и ясно дает понять, что малварь ориентирована на не слишком продвинутых пользователей.
По слухам, уже ведется работа над Radamant v3, так как алгоритм второй версии продержался всего несколько дней. Интересно, как быстро Восар справится с третьей версией вымогателя, и что на этот раз скажет ему автор малвари.
автор: МАРИЯ НЕФЁДОВА