Wenn sich Ransomware-Entwickler über Emsisoft ärgern

Wie von unseren Freunden bei Bleepingcomputer bekannt gegeben wurde, haben die Entwickler des Radamant Ransomware Kit jetzt scheinbar eine neue und damit dritte Version ihrer Ransomware veröffentlicht. Das könnte damit zusammenhängen, dass unsere Emsisoft-Experten – unter Leitung von CTO Fabian Wosar – für die ersten beiden Versionen bereits erfolgreich Decryptoren entwickeln konnten. Die erste Ausführung von Radamant verschlüsselt Dateien mit einer RDM-Erweiterung und die zweite Ausführung mit einer RRK-Erweiterung. Mit diesen zwei Versionen befallene Dateien können mithilfe der von uns entwickelten Decryptoren wieder entschlüsselt werden – kostenlos. Angeblich ist jetzt eine dritte Version im Umlauf, die wir jedoch noch nicht gesehen haben. Das wäre aber nicht verwunderlich. Die Entwickler der Radamant-Ransomware dürften alles andere als erfreut darüber sein, dass ihnen Fabian und Emsisoft einen Strich durch die Rechnung machen.

Das zeigt sich auch deutlich an den Strings in den ausführbaren Dateien der Ransomware und den Domainnamen für die Befehls- und Steuerserver (C&C-Server). In der aktuellen Version der Malware-Dateien ist unter anderem emisoft f**kedbastardsihateyou (etwa „emisoft verf**temistkerleichhasseeuch“) zu lesen. Ein starker Hinweis auf den Verdruss der Entwickler gegenüber Emsisoft. Aber sehen Sie selbst:

Die Entwickler von Radamant erwähnten Emsisoft sogar in einem der Domainnamen ihres C&C-Servers: emisoftsucked.top (inklusive Tippfehler).

Wie in diesem Beitrag zu lesen, fasst Fabian das jedoch nicht als Beleidigung auf, sondern eher das Gegenteil:

„Ich weiß ja nicht, wie das sonst gehandhabt wird, aber in meinen Kreisen gilt eine Beleidigung durch einen Malware-Programmierer als eine der größten Anerkennungen. Also vielen Dank dafür. Ein Tipp noch: Stellen Sie doch beim nächsten Mal sicher, den Firmennamen richtig zu schreiben. Da es ein sehr häufiger Fehler ist, lasse ich ihn aber diesmal noch durchgehen.“ – Fabian Wosar

Sie sind selbst Opfer der Radamant-Ransomware geworden und möchten unseren Decrypter herunterladen, um Ihre Dateien zu retten? Dann besuchen Sie doch einfach das zugehörige Forum von Bleepingcomputer. Hier finden Sie alle aktuellen Informationen und Anleitungen.

thumb_rdm_150x150Wichtiger Hinweis: Auch wenn Emsisoft Anti-Malware auf einem Server läuft, können infizierte Client-Rechner dennoch Dateien in den Freigaben verschlüsseln. Derzeit lassen sich jedoch alle bekannten Varianten erfolgreich entschlüsseln. Wir halten Sie auf dem Laufenden.

Senan Conrad

Weitere Artikel