Le ransomware Radamant

Le ransomware Radamant est ancien. Il a été actif de fin 2015 jusqu'à début 2017.

Il n'existe que 4 extensions de fichiers connues ajoutées aux fichiers cryptés de ce rançongiciel : .RDM | .RRK | .RADAMANT et .RAD Alors que les 2 premières variantes ont fait l'objet d'une solution de décryptage gratuite, il n'existe malheuresement pas de décrypteur connu pour les fichiers en .RADAMANT et .RAD

Capture d'écran du lien internet de demande de rançon laissé par le ransomware :



Il n'y a pas de fichier de demande de rançon mais à la place un lien internet YOUR_FILES.url est créé sur le bureau qui dirige les victimes au site de paiement.
L'interface du site Web est présentée en 8 langues, dont le français.

L’éditeur en sécurité informatique EMSISOFT et son développeur Fabian Wosar(@fwosar) ont conçu un décrypteur gratuit pour les fichiers cryptés par les extensions .RDM et .RRK.

Veuillez consulter ce site web au sujet du décrypteur Radamant : https://www.emsisoft.com/ransomware-decryption-tools/radamant

Si ce décrypteur ne parvient pas à décrypter vos fichiers, en attendant une solution, prenez soin de sauvegarder vos données et enregistrez-les dans un endroit sûr (un disque dur externe par exemple).

Le cryptage des données utilise les technologies avec AES-256 + RSA-2048 et a souvent lieu après l'exécution d'un logiciel malveillant sur l'ordinateur des victimes.

Il est conseillé :

- de porter plainte auprès des autorités compétentes. Consultez les sites :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et https://www.nomoreransom.org/fr/report-a-crime.html
- de sauvegarder régulièrement vos données importantes sur un support externe afin d'éviter toute perte ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès RDP aux utilisateurs qui en ont réellement besoin) ;
- de changer vos mots de passe et de les renforcer pour les utilisateurs disposant d'un accès autorisé ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer la détection par votre antivirus des applications potentiellement dangereuses avant leur installation.

Actuellement en promotion, nous vous proposons d’acquérir les licences antivirus Kaspersky avec une réduction de 40 %
en cliquant ici : https://www.winrar-france.com/store/-c23908855.

                                Plus de détails au sujet de ces extensions :

Extension  : .RDM ››› de décembre 2015 avec l'url de paiement de la rançon nommé easy-trading.biz

Extension  : .RRK ››› de décembre 2015 également avec l'url emisoftsucked.top

Extension  : .RADAMANT ››› de janvier 2016

Extension  : .RAD ››› de mars 2016	

Depuis janvier 2016 avec l'extension .RADAMANT le mode de cryptage utilisé par le ransomware a été renforcé et il n'existe aucun décrypteur gratuit connu pour récupérer les fichiers. Les clés de cryptage publiques sont sur un serveur distant et la clé de crypatage privée n'est pas présente sur la machine infectée des victimes.

Les deux dernières versions étant sans possibilité de décryptage, les victimes doivent essayer de récupérer leur données à l'aide de sauvegardes.