REvil 勒索軟件

REvil 勒索軟件說明

REvil勒索軟件截圖網絡安全專家最近發現了一種新的勒索軟件威脅在網絡上傳播。這種數據加密木馬稱為 REvil Ransomware,也稱為Sodinokibi Ransomware

滲透和加密

惡意軟件專家無法就傳播 REvil 勒索軟件的方法達成共識。人們普遍認為,REvil 勒索軟件的作者可能正在使用一些最常見的技術來傳播這種文件鎖定木馬——偽造的應用程序更新、從非官方來源下載的受感染盜版軟件以及包含損壞附件的垃圾郵件。如果 REvil Ransomware 設法滲透系統,它將通過快速掃描計算機上的文件開始攻擊。目標是找到並定位 REvil Ransomware 編程後要追踪的文件。然後,將觸發加密過程,並使用加密算法鎖定所有目標文件。鎖定文件後,REvil Ransomware 會為其文件名添加擴展名,其中包含為每個受害者唯一生成的隨機字符串,例如“.294l0jaf59”。這意味著,一旦最初名為“kitty-litter.jpg”的文件經過 REvil Ransomware 的加密過程,其名稱將更改為“kitty-litter.jpg.294l0jaf59”。


本週惡意軟件 Ep7:Revil 勒索軟件攻擊知名客戶律師事務所

贖金記錄

下一階段是丟棄贖金票據。如果我們繼續之前唯一生成的擴展的示例,REvil Ransomware 的註釋將命名為“294l0jaf59-HOW-TO-DECRYPT.txt”。贖金信息如下:

'--==== 歡迎。再次。 ====---

[+] 發生了什麼? [+]

您的文件已加密,當前不可用。你可以查一下:你電腦上的所有文件都有擴展名686l0tek69。
順便說一句,一切都可以恢復(恢復),但您需要按照我們的說明進行操作。否則,您將無法返回您的數據(從不)。

[+] 什麼保證? [+]

它只是一項業務。我們絕對不關心您和您的交易,除了獲得好處。如果我們不做我們的工作和責任 - 沒有人不會與我們合作。這不符合我們的利益。
要檢查返回文件的能力,您應該訪問我們的網站。在那裡您可以免費解密一個文件。那是我們的保證。
如果您不配合我們的服務 - 對我們來說,這無關緊要。但是你會失去你的時間和數據,因為只有我們有私鑰。在實踐中 - 時間比金錢更有價值。

[+] 如何訪問網站? [+]

你有兩種方法:

1)【推薦】使用TOR瀏覽器!
a) 從以下站點下載並安裝 TOR 瀏覽器:hxxps://torproject.org/
b) 打開我們的網站:hxxp://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/913AED0B5FE1497D

2) 如果 TOR 在您所在的國家/地區被阻止,請嘗試使用 VPN!但是您可以使用我們的輔助網站。為了這:
a) 打開任何瀏覽器(Chrome、Firefox、Opera、IE、Edge)
b) 打開我們的二級網站:http://decryptor.top/913AED0B5FE1497D

警告:二級網站可以被阻止,這就是為什麼第一個變體更好,更可用。

當您打開我們的網站時,在輸入表單中輸入以下數據:
鑰匙:

——

擴展名:

294l0jaf59
-------------------------------------------------- -------------------------------

!!!危險 !!!
不要嘗試自己更改文件,不要使用任何第三方軟件來恢復您的數據或防病毒解決方案 - 這可能會導致私鑰損壞,從而導致丟失所有數據。
!!! !!! !!!
再來一次:取回文件符合您的利益。在我們這邊,我們(最好的專家)為恢復做一切,但請不要干涉。
!!! !!! !!!'

攻擊者索要 2500 美元的比特幣作為贖金。但是,如果未在 72 小時內支付這筆款項,則將增加一倍,達到 5000 美元。

REvil Ransomware 的作者要求的金額非常高,我們強烈建議您不要支付和屈服於網絡犯罪分子(例如負責此數據鎖定木馬的人)提出的任何要求。更明智的選擇是確保您下載並安裝信譽良好的防病毒軟件套件,這將保護您的系統免受 REvil Ransomware 等威脅的侵害。

Grubman Shire Meiselas & Sacks 遭到黑客攻擊並索要 4200 萬美元贖金

2020 年 5 月初,REvil 黑客組織入侵紐約律師事務所 Grubman Shire Meiselas & Sacks (GSMS) 的系統,加密並竊取了高達 756GB 的敏感數據。

被盜文件包括眾多一線名人的個人通信、音樂版權、保密協議、電話號碼和電子郵件地址,包括埃爾頓約翰、麥當娜、布魯斯斯普林斯汀、尼基米娜、瑪麗亞凱莉、Lady Gaga 和 U2。

不僅如此,黑客還聲稱他們已經掌握了有關美國總統唐納德特朗普的敏感數據。這一說法是 REvil 集團提出令人印象深刻的贖金要求的原因。最初,攻擊者要價 2100 萬美元,但 GSMS 以僅 365,000 美元的報價作為反擊。

這導致網絡騙子的贖金需求翻了一番,並發布了一個 2.4GB 的檔案,其中包含 Lady Gaga 的法律文件,包括音樂會、電視露面和銷售合同。

[標題 id="attachment_501878" align="aligncenter" width="600"] Lady Gaga 洩露的內容。來源:zdnet.com[/caption]

洩密事件還包含有關釋放特朗普總統的“髒衣服”的威脅:

“我們將發布的下一個人物是唐納德特朗普。一場競選正在進行,我們準時找到了一大堆髒衣服。特朗普先生,如果你想留任總統,就用尖利的棍子戳他們,否則你可能會永遠忘記這個野心。對你們選民,我們可以讓你們知道,在發表這樣的文章之後,你們肯定不想看到他當總統。好吧,讓我們忽略細節。截止日期為一周。格魯曼,如果我們看不到錢,我們就會把你的公司夷為平地。閱讀 Travelex 的故事,很有啟發性。你一對一地重複他們的場景。”

GSMS 回應威脅稱,特朗普從未成為該公司的客戶。黑客確實發布了一份包含 160 封電子郵件的檔案,據稱這些電子郵件包含關於特朗普的“最無害的信息”。儘管如此,他們只是順便提到了美國總統,並沒有真正提到他。顯然,威脅行為者剛剛搜索了任何提及“特朗普”的內容,而且許多洩露的電子郵件僅將其作為動詞使用。

與此同時,GSMS 回應稱,聯邦調查局已將此次違規行為歸類為恐怖主義行為,並指出:

“專家和聯邦調查局告知我們,與恐怖分子談判或向恐怖分子支付贖金違反了聯邦刑法。”

這似乎並沒有影響 REvil 團伙的態度,他們說他們將把他們擁有的任何有價值的信息拍賣給願意出價的人。