专家分析了新的恶意软件样本并确认 REvil 回归

在俄罗斯和美国之间日益紧张的背景下, 专家分析了新恶意软件的样本，并确认 REvil 网络犯罪分子使用新的勒索软件回归.

俄罗斯入侵乌克兰开始后, REvil的 托尔 网站开始复苏, 但他们没有旧信息, 他们将访问者重定向到新的 URL, 未命名的勒索软件黑客组织.

虽然这些网站不像以前的 REvil 网站, 旧基础设施重定向到新 URL 的事实表明分组的回归. 然而, 十一月, “REvil is bad”的消息开始出现在该组织的网站上. 这种对黑客网站的访问涉及执法机构或网络犯罪分子的行为, 所以REvil的复活页面不能作为该团伙回归的有力证据.

确定 REvil 是否回来的唯一方法是找到一个样本勒索软件并对其进行分析，以确定它是否已修补或从源代码开发. 本周发现了新勒索软件的正确样本 AVAST 研究员 雅库布·克鲁斯特克. 对样本的分析证实了该无名组织与 REvil 的联系.

据分析人士称, 发现的病毒样本是从 REvil 源代码编译而来的, 并且还包含新的变化. 安全研究员 R3MRUM 推文说样本的版本号已更改为 1.0, 但它是最新版本的延续, 2.08, REvil 在它被摧毁之前释放.

专家无法解释为什么病毒不加密文件, 但认为它是从源代码编译的.

新 REvil 编码器中的版本更改

先进的英特尔 首席执行官 维塔利·克雷梅兹 还检查了样本并确认它是在 4 月 26 日从源代码编译的. 按照他的说法, 新的 REvil 样本包括一个新的‘accs’ 包含受攻击受害者凭据的配置字段.

克雷梅兹相信‘accs’ 配置选项用于防止在不包含正确 Windows 帐户和域的其他设备上进行加密, 允许有针对性的攻击.

除了 “会计准则” 范围, 用作 Campaign 和 Branch ID 的 SUB 和 PID 参数已在新 REvil 示例的配置中更改 使用更长的 GUID 类型值，例如 “3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4”.

哔哩哔哩电脑 还测试了勒索软件样本 它创建了一个与旧的 REvil 赎金警告相同的赎金记录.

REvil 赎金票据

新组自称 “Sodinokibi“, 但是新站点几乎与旧 Revil 站点相同.

不出所料, 作为新行动的一部分，REvil 已更名, 特别是由于美俄关系恶化.