Исследователи сумели взломать управляющий сервер шифровальщика Radamant

Александр Панасенко 17 Марта 2016 - 08:18

...

Автору шифровальщика Radamant определенно не везет. В декабре минувшего года эксперт Emsisoft Фабиан Восар (Fabian Wosar) уже взломал шифрование вымогателя и представил бесплатный инструмент для восстановления информации, чем вызвал гнев злоумышленника.

Теперь исследовали компании InfoArmor и вовсе сумели взломать командный сервер малвари, заставив его инициировать процесс расшифровки данных, хотя жертвы не заплатили выкуп.

Впервые шифровальщик Radamant был замечен в декабре 2015 года. Существуют две версии Radamant: v1 изменяет расширение файлов на .RDM, а v2 на .RRK. Хотя на форуме Bleeping Computer сообщают также о версии, переименовывающей файлы в .RDD.

После того как Восар успешно взломал шифрование обеих версий и разозлил автора малвари, тот исправил вторую версию, в январе 2016 года представив вариант, названный radamantv2.1_emisoft_bleeped. Эта вариация тоже изменяет расширение файлов на .RKK, но автор вредоноса сменил метод шифрования, так что инструмент Восара работает против него уже далеко не всегда, сообщает xakep.ru.

Специалисты InfoArmor, в отличие от Восара, не стали трогать шифрование. Они выяснили, что справиться с шифровальщиком можно при помощи SQL-инъекции. Radamant шифрует каждый файл уникальным ключом AES-256, а затем шифрует его с использованием мастер ключа RSA-2048, который внедряется в хедер каждого файла. Данный мастер ключ отправляется на контрольный сервер малвари, где хранится в MySQL базе. Как только жертва выплатила выкуп, оператор вредоноса отсылает ей мастер ключ RSA и инструмент для расшифровки данных. Для удобства управления «бизнесом», оператор Radamant использует доступную извне панель управления.

До и после. Исследователи изменили «статус оплаты» жертвы

Эксперты InfoArmor обнаружили, что коммуникации между контрольной панелью и БД позволяют осуществить SQL-инъекцию. Воспользовавшись этим методом, можно изменить статус выплаты выкупа, заставив управляющий сервер поверить, что жертва уже заплатила, и автоматически выслать ей инструмент для расшифровки информации. Также исследователи отмечают, что используя все ту же банальную SQL-инъекцию, можно извлечь из БД злоумышленника вообще всю содержащуюся там информацию.

InfoArmor также стало известно, что автор Radamant ведет работу над новой малварью — KimChenIn Coin Kit, которая ворует криптовалюту из Bitcoin Core, LiteCoin Core, Dash Core, NameCoin Core и Electrum-BTC/LTC/Dash.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Читайте также

Обзоры

Обзор средств двухфакторной аутентификации Gemalto

25 Октября 2018

Практика

Как защитить КИИ в соответствии с 187-ФЗ

18 Октября 2018

Продажи DeviceLock DLP в Германии растут несмотря на санкции

Олег Иванов 12 Ноября 2018 - 16:20

DeviceLock DLP Suite Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Продажи DeviceLock DLP в Германии растут несмотря на санкции

Продажи российской системы борьбы с утечками данных (Data Leak Prevention, DLP) DeviceLock DLP на территории Германии выросли на 25% за 9 месяцев этого года относительно того же периода 2017 года. В результате Германия стала третьим по размеру рынком для DeviceLock после России и Японии. Основными покупателями DeviceLock DLP на немецком рынке являются банки, органы внутренних дел, ретейлеры, фармацевтические компании и автопроизводители.

В компании отмечают, что спрос на DLP-системы в ЕС последовательно растет все последние годы и этот рост продолжился и в этом году, несмотря на кризис в отношениях между странами. Драйвером роста по мнению основателя и технического директора DeviceLock Ашота Оганесяна является постоянное увеличение количества утечек, допускаемых сотрудниками на фоне ужесточения законодательства в отношении персональных данных и защиты частной жизни сотрудников.

По данным исследования DeviceLock, в 2018 году более 50% утечек корпоративных данных в России происходило по вине инсайдеров, а не хакеров. Наименее защищена сфера обслуживания, где потери данных носят повсеместный характер, так как большинство компаний, работающих в этом сегменте, относятся к малому бизнесу и не имеют ни бюджета, ни компетенций для их защиты. Аналогичная ситуация складывается и в Европе.

«DLP-система при жестком европейском законодательстве – идеальный выбор. Робот, сверяющий действия сотрудников с набором правил, не может нарушить, например, тайну переписки, потому что он не человек. А сигнал тревоги уже содержит доказательства правонарушения», — отметил Ашот Оганесян.

«Много говорят, что после осложнения отношений российские IT-продукты перестали покупать в Европе, но это не так. И хороший пример – то, как немецкие клиенты выбирают среди DLP-систем. Кроме адекватной цены, они требуют от системы максимальной функциональности и наличия локальной немецкой поддержки. Обращают внимание и на репутацию компании-производителя. По всем этим критериям и выбирают DeviceLock DLP, а его российское происхождение играет минимальную роль. Например, в этом году году один из крупнейших немецких автоконцернов заменил конкурирующее решение на DeviceLock DLP», — добавил он.