Уязвимость в C&C-сервере вымогателя Radamant позволяет восстановить зашифрованный контент

Специалисты компании InfoArmor разработали новый метод, позволяющий получить ключ дешифрования для восстановления файлов, зашифрованных вымогательским ПО Radamant, сообщает издание SecurityWeek.

В настоящее время известно по крайней мере о двух вариантах вредоноса - RDM v.1 и RKK v.2 По аналогии с другими типами вымогателей, оказавшись на компьютере жертвы, Radamant исследует жесткий диск и шифрует содержащиеся на нем файлы. За восстановление документов потребуется выплатить определенную сумму в биткоинах.

Предложенный специалистами InfoArmor метод основан на эксплуатации позволяющей осуществить SQL-инъекцию уязвимости в используемом Radamant C&C-сервере. Данная техника предполагает регистрацию инфицированного компьютера в командном центре вредоносного приложения путем оправки специально сформированного запроса HTTP POST.

По словам экспертов, запрос содержит открытый и закрытый ключи дешифрования, а также уникальный идентификатор бота, модифицированного для обхода фильтров. После того, как бот был зарегистрирован на сервере, при помощи специально сформированного HTTP-запроса специалисты смогли изменить статус всех зараженных устройств на «оплачено» и расшифровать файлы.

При наличии определенных условий базу данных можно восстановить полностью, утверждают исследователи. По их словам, изменение статуса инфицированного компьютера убедит вредоносное приложение в уплате выкупа. В результате жертва получит закрытый ключ для дешифрования, причем оператор вредоносного ПО даже не будет знать об активации процесса расшифровки контента.