Обнаружен новый Cryptolocker — Radamant Kit

Исследователь Lawrence Abrams обнаружил нового троянца класса Cryptolocker — Radamant Kit, атаковавшего десятки тысяч компьютеров по всему миру. Его отличительной особенностью является динамическое получение файловых расширений для шифрования и резервных доменов, в случае отказа в работе основного.

Новый вымогатель атакует пользователей и шифрует персональные данные с помощью алгоритма AES-256, с уникальным ключем для каждого файла. Сам ключ шифруется с использованием публичного RSA-2048. Шифрованию подвержены постоянные, съемные и сетевые носители информации, что значительно увеличивает возможный ущерб от действий вируса. Большинство заражений происходило из папки %TEMP%, что может свидетельствовать о распространении Radamant Kit посредством связки эксплойтов.

После окончания шифрования, Radamant изменяет расширение всех файлов на .RDM и открывает специально созданную WEB-страницу с требованиями и адресом для оплаты расшифровки файлов. Список расширений для шифрования огромен — приблизительно полторы тысячи и может быть изменен в любой момент. Для повышения привилегий используется вызов легальной службы WMI и запуск копии вредоноса с повышенными правами.

После работы Radamant Kit удаляет теневые копии файлов, что может грозить потерей сохраненных копий файлов. Исследователь отмечает, что расшифровка файлов без приватного ключа невозможна.

В названии нового криптолокера присутствует слово Kit, поэтому вполне возможно, что Radamant Kit является частью партнерской программы. Если это так, мы будем наблюдать данный Cryptolocker все чаще и чаще.