專家分析了新的惡意軟件樣本並確認 REvil 回歸

在俄羅斯和美國之間日益緊張的背景下, 專家分析了新惡意軟件的樣本，並確認 REvil 網絡犯罪分子使用新的勒索軟件回歸.

俄羅斯入侵烏克蘭開始後, REvil的 托爾 網站開始復蘇, 但他們沒有舊信息, 他們將訪問者重定向到新的 URL, 未命名的勒索軟件黑客組織.

雖然這些網站不像以前的 REvil 網站, 舊基礎設施重定向到新 URL 的事實表明分組的回歸. 然而, 十一月, “REvil is bad”的消息開始出現在該組織的網站上. 這種對黑客網站的訪問涉及執法機構或網絡犯罪分子的行為, 所以REvil的複活頁面不能作為該團伙回歸的有力證據.

確定 REvil 是否回來的唯一方法是找到一個樣本勒索軟件並對其進行分析，以確定它是否已修補或從源代碼開發. 本週發現了新勒索軟件的正確樣本 AVAST 研究員 雅庫布·克魯斯特克. 對樣本的分析證實了該無名組織與 REvil 的聯繫.

據分析人士稱, 發現的病毒樣本是從 REvil 源代碼編譯而來的, 並且還包含新的變化. 安全研究員 R3MRUM 推文說樣本的版本號已更改為 1.0, 但它是最新版本的延續, 2.08, REvil 在它被摧毀之前釋放.

專家無法解釋為什麼病毒不加密文件, 但認為它是從源代碼編譯的.

新 REvil 編碼器中的版本更改

先進的英特爾 財富網 財富網 還檢查了樣本並確認它是在 4 月 26 日從源代碼編譯的. 據他介紹, 新的 REvil 樣本包括一個新的‘accs’ 包含受攻擊受害者憑據的配置字段.

克雷梅茲相信‘accs’ 配置選項用於防止在不包含正確 Windows 帳戶和域的其他設備上進行加密, 允許有針對性的攻擊.

除了 “會計準則” 參數, 用作 Campaign 和 Branch ID 的 SUB 和 PID 參數已在新 REvil 示例的配置中更改 使用更長的 GUID 類型值，例如 “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

嗶哩嗶哩電腦 還測試了勒索軟件樣本 它創建了一個與舊的 REvil 贖金警告相同的贖金記錄.

REvil 贖金票據

新組自稱 “Sodinokibi“, 但是新站點幾乎與舊 Revil 站點相同.

這並不奇怪, 作為新行動的一部分，REvil 已更名, 特別是由於美俄關係惡化.