REvil: Новий лідер, нові функції, нові жертви...

Шифрувальник REvil все частіше стає інструментом вдалих кібератак на підприємства та фінансові установи по всьому світу. Суми викупів подекуди сягають захмарних значень. Однак, шкідливе програмне забезпечення продовжує вдосконалюватися та отримувати нові можливості для продовження списку голосних заражень.

REvil: історія “успіхів”

Троян шифрувальник REvil є тим інструментом, що вдало використовується хакерами у 2020-2021 роках на різних напрямках та проти різноманітних типів потенційних жертв. Наразі, від цього шифрувальника постраждали такі компанії як Dairy Farm Group, що є великою роздрібною мережею магазинів, чилійський банк BancoEstado, що змушений був повністю припинити свою діяльність та тимчасово закрити всі відділення.

Проте найгучнішими “успіхами” REvil є вдале проникнення у одну з найбільших телеком компаній Аргентини Telecom та ймовірне інфікування відомого тайванського виробника електроники ACER (компанія не підтверджує факт зараження офіційно).

Також цілями операторів REvil часто-густо ставали відомі публічні особи та політики, ак то Дональд Трамп. Втім, такі заяви могли бути одночасно і масштабними піар акціями, щоб привернути увагу до REvil, як до небезпечного трояна, який “завжди досягає успіху”.

В середньому власники REvil вимагають від жертв викуп за розшифрування даних у суммах від 10 до 50 мн дол у Bitcoin, або у Monero.

REvil: що це?

Варто зазначити, що REvil це реінкарнація відомого трояна шифрувальника Sodinokibi про який ми писали раніше. Як і більшість видів подібного шкідливого ПЗ, він розповсюджується шляхом СПАМ розсилок та інфікування персональних ПК співробітників компаній-цілей.

Нагадаємо, що як і у випадку з Sodinokibi схема зараження  в базовому варіанті залишається аналогічною. Перейшовши за посиланням чи відкривши архів вкладений в лист ви ініціювали  автоматичний запуск  JavaScript що стане першим кроком зараження ПК. З великою вирогідністю через деякий час ви побачите що не маєте доступу до файлів на вашому ПК та, власне, не зможете їм користуватися, адже він буде зашифрований та заблокований. А на головному екрані з’явиться повідомлення від кіберзлочинців, де вам досить детально пояснять що відбулось і скільки буде коштувати відновлення інформації. Також для складності відновлення даних REvil видалить приховані томи даних Windows.

Новітні версії REvil використовують логіку зараження, коли після активації на ПК спочатку шукають та отримують доступи до серверів, зв’язаних робочих станцій та ПК, а лише після цього ініціюється протокол шифрування.

Цікаво що новітній функціонал, що був доданий до REvil, використовує програмне забезпечення для пентестов Cobalt Strike, що додало ефективності.

Правила захисту від REvil

Фахівці антивірусної лабораторії Zillya відзначають, що для захисту від REvil та інших троянів-вимагачів, варто дотримуватися кількох правил базової безпеки:

1.Не відкривайте листи від невідомих адресатів з вкладеними архівами і текстовими документами

3. Якщо відкрили такий лист не відкривати файли.

4. Видалити такий лист.

5. Не переходьте за посиланнями, що вкладені в «тіло» листа від незнайомих адресатів

6. Користуйтеся антивірусом, як на ПК, так і на мобільному пристрої.

7. Регулярно робіть копії важливої інформації

8. Слідкуйте за оновленнями операційної системи та встановлюйте всі запропоновані оновлення пов’язані з системою безпеки та виправленням уразливостей