Стремительно поднимающийся к вершине иерархии вредоносных угроз REvil, будучи исследован специалистами, оказался весьма неожиданным экземпляром.
Это новое семейство программ-вымогателей содержит множество отсылок к знаменитому вредоносу GandCrab, авторы которого официально ушли на покой. REvil более известен как Sodinokibi, эта вредоносная программа появилась незадолго до прекращения деятельности GandCrab.
АКБ писала об этом вредоносе летом 2019 года: тогда отмечалось, что «Лаборатория Касперского» нашли еще один умный вирус, который использует нестандартную технику уклонения от анализа и обнаружения. Чтобы обойти защитные решения, Sodin использует легитимные функции процессора. Применяемая зловредом техника «Небесные врата» (Heaven’s Gate) позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса, что затрудняет анализ и своевременное обнаружение вредоносного кода.
Деятельность зловреда проанализировала команда Secureworks Counter Threat Unit. Специалисты нашли общие черты, доказывающее, что у REvil и GandCrab один автор – эту преступную группу принято называть Gold Garden, и ее считают (ну разумеется) имеющей отношение к России.
По словам специалистов по компьютерной безопасности, код вируса не только похож на предыдущий, но в нем содержатся аналогичные ошибки. Директор отдела Secureworks по противодействию кибератакам Дон Смит предположил, что хакеры хотели отвлечь внимание от бренда GandCrab и затем запустили новый продукт.
В июле 2019 года ФБР выпустило мастер-ключи для расшифровки файлов, пострадавших от вымогателя Gandcrab версий 4, 5, 5.0.4, 5.1 и 5.2. Используя эти ключи, любой пользователь сможет создать и выпустить собственный дешифратор GandCrab. Хотя киберпреступники свернули свой бизнес в июне (заслугу чего не замедлили приписать себе правоохранители) и уехали на острова пить коктейли с «заработанными» $150 млн, не имеющие к ним отношения лица по-прежнему могут распространять шифровальщик, так что мастер-ключи пригодятся.
Читайте также на АКБ:
Золотые зубы: шифровальщики обнесли 400 стоматологий на $2,5 млн