کمیته رکن چهارم – باج افزار REvil که با نام Sodinokibi نیز شناخته میشود در اواخر آوریل سال ۲۰۱۹ توسط محققان امنیتی شناسایی شد. این باج افزار بخشی از سرویس (Ransomware-as-a-Service (RaaS (باج افزار به عنوان سرویس) است که در آن مجموعه ای از افراد کد اصلی را نگهداری می کنند و سایر گروه های وابسته به آنها این باج افزار را توزیع می کنند.
یک باج افزار دیگر به نام GandCrab وجود دارد و محققان امنیتی معتقدند شباهت های زیادی به باج افزارهای REvil دارد که از زمان ظهور Revvil، فعالیت GandCrab کاهش یافته و کدهای آن به اشتراک گذاشته می شوند.
نسخه جدید این باج افزار از API مدیریت ریستارت ویندوز استفاده می کند تا پروسه کاری خود را وارد فرآیند کاری ویندوز کند و در مرحله بعدی فایل مورد نظر برای رمزگذاری را اجرا کند. استفاده از Windows Restart Manager به این دلیل است که اگر فایل مورد نظر توسط یک فرآیند خاصی اجرا شود، فرآیند های دیگر در آن فایل توسط سیستم ویندوز terminate می شود.
محققان Intel471 متوجه شده اند که تکنیک کاری Sodinokibi یا همان REvil استفاده از Windows Restart Manager است که توسط سایر باج افزارها مانند SamSam و LockerGoga نیز استفاده می شود .
“باج افزار REvil برای عملیات رمزگذاری (بدون اشتراک گذاری) فایل های خود را اجرا می کند (dwShareMode برابر با ۰). در نتیجه، هر زمانی که هنگام باز کردن یک فایل نقض اشتراکی وجود داشته باشد، Restart Manager جهت راه اندازی مجدد فراخوانی می شود. ”
محقق امنیتی “Vitali Kremez” خاطرنشان کرد که REvil Decryptor v2.2 از API مدیریت ریستارت ویندوز برای اهرم کردن پروسه های رمزگشایی استفاده می کند.
با قابلیت های جدیدی که به باج افزار REvil اضافه شده، می تواند برخی از فایل های بسیار مهم را رمزگذاری کند.
گروه امنیتی ایران سایبر برای جلوگیری از حملات باج افزارها به زودی چک لیست کاملی را در اختیار عزیزان قرار خواهد داد
منبع: ایران سایبر
