Le ransomware Radamant est ancien : il a été particulièrement actif entre fin 2015 et 2017.
Les antivirus peuvent lui donner l'appelation Trojan/Win.Radam, Trojan.Encoder.3563 (Doctor Web), Win32/Filecoder.Radamant (Eset),
W32/Radamant.A!tr.ransom (Fortinet), Trojan-Ransom.Win32.Radam (Kaspersky), Ransom:Win32/RADAMANT (Microsoft),
Ransom.Win32.RADAMCRYPT (TrendMicro), etc...
4 extensions de fichiers différentes peuvent être ajoutées aux fichiers cryptés par le rançongiciel Radamant : .RDM ; .RRK ; .RADAMANT et .RAD.
Il existe une solution de décryptage gratuite pour les fichiers chiffrés .RDM et .RRK 2.
Aucun décrypteur gratuit n'existe pour les fichiers portant les extensions .RADAMANT et .RAD.
Ce rançongiciel n'utilise pas de demande de rançon : il place un lien internet YOUR_FILES.url sur le bureau qui dirige les victimes vers un site de paiement.
L'interface du site Web des hackeurs proposait 8 langues, dont le français.
L’éditeur en sécurité informatique EMSISOFT et son développeur Fabian Wosar (@fwosar) ont conçu un décrypteur gratuit pour les fichiers cryptés par les extensions .RDM et .RRK. Veuillez consulter ce site web au sujet du décrypteur Radamant : www.emsisoft.com/ransomware-decryption-tools/radamant.
Si le décrypteur ne parvient pas à récupérer vos fichiers et dans l'attente d'une solution, prenez soin de sauvegarder les données chiffrés et enregistrez-les dans un endroit sûr (un disque dur externe par exemple).
Le cryptage des données utilise la technologie AES-256 + RSA-2048. Il a souvent lieu après l'exécution d'un logiciel malveillant sur l'ordinateur des victimes.
Il est recommandé :- de porter plainte auprès des autorités compétentes. Consultez les sites :
www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares et
www.nomoreransom.org/fr/report-a-crime.html.
- de sauvegarder régulièrement vos données importantes sur un support externe afin de les récupérer facilement en cas de besoin ;
- de désactiver ou au moins sécuriser le protocole RDP (à l'aide de VPN et en limitant l'accès à distance aux utilisateurs de confiance qui en ont réellement besoin) ;
- de changer tous vos mots de passe et de les renforcer ;
- de mettre en place un mot de passe pour protéger vos paramètres antivirus et empêcher sa désactivation ou sa désinstallation par des personnes non autorisées ;
- d’activer en permanence l'analyse par l'antivirus des applications et logiciels avant leurs téléchargements et utilisations.
En promotion, nous vous proposons d’acquérir une licence antivirus Kaspersky avec une réduction de 40 % en cliquant ici.
Plus de détails au sujet de ces extensions :
Extension : .RDM ››› de décembre 2015 avec l'url de paiement de la rançon nommé easy-trading.biz
Extension : .RRK ››› de décembre 2015 également avec l'url emisoftsucked.top
Il n'existe pas de solution de décryptage pour les extensions .RADAMANT et .RAD :Extension : .RADAMANT ››› de janvier 2016 Extension : .RAD ››› de mars 2016
Depuis janvier 2016 et l'extension .RADAMANT, le mode de cryptage utilisé par le ransomware a été renforcé et il n'existe aucun décrypteur gratuit connu pour récupérer les fichiers.
Les clés de cryptage sont sur un serveur distant. Elles ne sont pas présentent sur la machine infectée des victimes.
S'il n'existe pas de possibilité de décryptage, les victimes sont invitées à essayer de récupérer leurs données à l'aide de précédentes sauvegardes.