Автору вируса-шифровальщика Radamant в очередной раз не повезло. В конце 2015 года Фабиан Восар (эксперт Emsisoft) уже взломал шифрование вредоносной программы и создал бесплатное приложение для восстановления данных. Позднее специалисты InfoArmor смогли пошли еще дальше: им удалось взломать сервер троянской программы, заставив его начать процесс расшифровки данных всех атакованных пользователей, хотя жертвы ничего не оплачивали.
Впервые вирус Radamant был обнаружен в декабре 2015 года. Изучено две модификации Radamant: одна после шифрования файла меняет расширение на .RRK, вторая использует расширение .RDM. На портале Bleeping Computer также появлялись сообщения о существовании версии, которая использует расширение .RDD.
Когда Восар успешно взломал шифрование обоих приложений, автор вируса изменил вторую версию, которая получила название radamantv2.1_emisoft_bleeped. Она появилась в январе 2016 года и отличалась только алгоритмом шифрования. Это привело к тому, что инструмент Восара часто не мог восстановить измененные файлы.
Эксперты InfoArmor пошли по другому пути, не пытаясь взломать шифрование утилиты. Они выяснили, что справиться с вредоносной программой можно используя SQL-инъекцию. Radamant использует для шифрования каждого файла ключ AES-256 (уникальный), после чего шифрует его при помощи мастер-ключа RSA-2048 (внедряется в хедер файла). Мастер ключ отсылается на управляющий сервер, для хранения используется обычная база MySQL. Если жертва оплачивает требуемый выкуп, оператор вируса отправляет пользователю мастер ключ и утилиту для расшифровки файлов. Для удобства оператор может использовать специальную панель управления, которая доступна извне.
Специалисты InfoArmor обнаружили, что схема взаимодействия БД и панели управления позволяет применить технологию SQL-инъекции. Это позволило отредактировать статус оплаты выкупа, заставив командный сервер «поверить», что жертва перевела средства. Это приводит к автоматической отправке инструмента для расшифровки. Исследователи также отметили, что использование простой SQL-инъекции позволяет полностью извлечь базу данных злоумышленников.