勒索软件REvil 回归，新版本正在积极开发中

king 安全防护 2023-01-13 389浏览 0

5月9日，Secureworks Counter Threat Unit (CTU) 的研究人员发布的报告显示，臭名昭著的勒索软件 REvil(又名 Sodin 或 Sodinokibi)在销声匿迹一段时间后再度开始活动。勒索软件REvil 回归，新版本正在积极开发中研究人员对新发现的样本进行分析，发现在短时间内已经出现多个修改过的新版本，表明 REvil 再次处于积极的开发过程中。 4月20日，REvil 在 TOR 网络中的数据泄露站点开始重定向到新的主机，这是一个明显的复苏信号，网络安全公司 Avast 在一周后披露，他们已在野外阻止了一个看起来像新的 Sodinokibi / REvil的勒索软件样本变种。根据对另一个时间戳为3月11日的样本源代码进行检查，发现与2021年10月的样本相比已经有了明显的更改，包括对其字符串解密逻辑、配置存储位置和硬编码公钥的更新，并修订了赎金记录中显示的 Tor 域，与上个月发现的新 Tor 域相匹配： REvil 泄露站点：blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion REvil 赎金支付网站：landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion 勒索软件REvil 回归，新版本正在积极开发中 2022 年 3 月样本中的字符串解密逻辑更改(资料