REvil 勒索软件

网络安全专家最近发现了一种新的勒索软件威胁在网络上传播。这种数据加密木马称为 REvil Ransomware，也称为Sodinokibi Ransomware 。

渗透和加密

恶意软件专家无法就传播 REvil 勒索软件的方法达成共识。人们普遍认为，REvil 勒索软件的作者可能正在使用一些最常见的技术来传播这种文件锁定木马——伪造的应用程序更新、从非官方来源下载的受感染盗版软件以及包含损坏附件的垃圾邮件。如果 REvil Ransomware 设法渗透系统，它将通过快速扫描计算机上的文件开始攻击。目标是找到并定位 REvil Ransomware 编程后要追踪的文件。然后，将触发加密过程，并使用加密算法锁定所有目标文件。锁定文件后，REvil Ransomware 会为其文件名添加扩展名，其中包含为每个受害者唯一生成的随机字符串，例如".294l0jaf59"。这意味着，一旦最初名为"kitty-litter.jpg"的文件经过 REvil Ransomware 的加密过程，其名称将更改为"kitty-litter.jpg.294l0jaf59"。

本周恶意软件 Ep7：Revil 勒索软件攻击知名客户律师事务所

赎金记录

下一阶段是丢弃赎金票据。如果我们继续之前唯一生成的扩展的示例，REvil Ransomware 的注释将命名为"294l0jaf59-HOW-TO-DECRYPT.txt"。赎金信息如下：

'--==== 欢迎。再次。 ====---

[+] 发生了什么？ [+]

您的文件已加密，当前不可用。你可以查一下：你电脑上的所有文件都有扩展名686l0tek69。
顺便说一句，一切都可以恢复（恢复），但您需要按照我们的说明进行操作。否则，您将无法返回您的数据（从不）。

[+] 什么保证？ [+]

它只是一项业务。我们绝对不关心您和您的交易，除了获得好处。如果我们不做我们的工作和责任 - 没有人不会与我们合作。这不符合我们的利益。
要检查返回文件的能力，您应该访问我们的网站。在那里您可以免费解密一个文件。那是我们的保证。
如果您不配合我们的服务 - 对我们来说，这无关紧要。但是你会失去你的时间和数据，因为只有我们有私钥。在实践中 - 时间比金钱更有价值。

[+] 如何访问网站？ [+]

你有两种方法：

1）【推荐】使用TOR浏览器！
a) 从以下站点下载并安装 TOR 浏览器：hxxps://torproject.org/
b) 打开我们的网站：hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) 如果 TOR 在您所在的国家/地区被阻止，请尝试使用 VPN！但是您可以使用我们的辅助网站。为了这：
a) 打开任何浏览器（Chrome、Firefox、Opera、IE、Edge）
b) 打开我们的二级网站：http://decryptor.top/913AED0B5FE1497D

警告：二级网站可以被阻止，这就是为什么第一个变体更好，更可用。

当您打开我们的网站时，在输入表单中输入以下数据：
钥匙：

——

扩展名：

294l0jaf59
-------------------------------------------------- -------------------------------

!!!危险 ！！！
不要尝试自己更改文件，不要使用任何第三方软件来恢复您的数据或防病毒解决方案 - 这可能会导致私钥损坏，从而导致丢失所有数据。
!!! !!! !!!
再来一次：取回文件符合您的利益。在我们这边，我们（最好的专家）为恢复做一切，但请不要干涉。
!!! !!! !!!'

攻击者索要 2500 美元的比特币作为赎金。但是，如果未在 72 小时内支付这笔款项，则将增加一倍，达到 5000 美元。

REvil Ransomware 的作者要求的金额非常高，我们强烈建议您不要支付和屈服于网络犯罪分子（例如负责此数据锁定木马的人）提出的任何要求。更明智的选择是确保您下载并安装信誉良好的防病毒软件套件，这将保护您的系统免受 REvil Ransomware 等威胁的侵害。

Grubman Shire Meiselas & Sacks 遭到黑客攻击并索要 4200 万美元赎金

2020 年 5 月初，REvil 黑客组织入侵了纽约律师事务所 Grubman Shire Meiselas & Sacks (GSMS) 的系统，加密并窃取了高达 756GB 的敏感数据。

被盗文件包括众多一线名人的个人通信、音乐版权、保密协议、电话号码和电子邮件地址，包括埃尔顿约翰、麦当娜、布鲁斯斯普林斯汀、尼基米娜、玛丽亚凯莉、Lady Gaga 和 U2。

不仅如此，黑客还声称他们已经掌握了有关美国总统唐纳德特朗普的敏感数据。这一说法是 REvil 集团提出令人印象深刻的赎金要求的原因。最初，攻击者要价 2100 万美元，但 GSMS 以仅 365,000 美元的报价作为反击。

这导致网络骗子的赎金需求翻了一番，并发布了一个 2.4GB 的档案，其中包含 Lady Gaga 的法律文件，包括音乐会、电视露面和销售合同。

[标题 id="attachment_501878" align="aligncenter" width="600"] Lady Gaga 泄露的内容。来源：zdnet.com[/caption]

泄密事件还包含有关释放特朗普总统的"脏衣服"的威胁：

"我们将发布的下一个人物是唐纳德特朗普。一场竞选正在进行，我们准时找到了一大堆脏衣服。特朗普先生，如果你想留任总统，就对着这些家伙捅一刀，否则你可能会永远忘记这个野心。对你们选民，我们可以让你们知道，在发表这样的文章之后，你们肯定不想看到他当总统。好吧，让我们忽略细节。截止日期为一周。格鲁曼，如果我们看不到钱，我们就会把你的公司夷为平地。阅读 Travelex 的故事，很有启发性。你一对一地重复他们的场景。"

GSMS 回应威胁称，特朗普从未成为该公司的客户。黑客确实发布了一份包含 160 封电子邮件的档案，据称这些电子邮件包含关于特朗普的"最无害的信息"。尽管如此，他们只是顺便提到了美国总统，并没有真正提到他。显然，威胁行为者刚刚搜索了任何提及"特朗普"的内容，许多泄露的电子邮件仅将其作为动词使用。

与此同时，GSMS 回应称，联邦调查局已将此次违规行为归类为恐怖主义行为，并指出：

"专家和联邦调查局告知我们，与恐怖分子谈判或向恐怖分子支付赎金违反了联邦刑法。"

这似乎并没有影响 REvil 团伙的态度，他们说他们将把他们拥有的任何有价值的信息拍卖给愿意出价的人。