Eine neue Kampagne mit der revil Ransomware (auch als Sodinokibi bekannt) verbunden und hat Ähnlichkeiten mit der GandCrab Malware.
EINaut Forscher von der Secureworks Counter Counter-Einheit-Team, beide Malware kann sein die Arbeit des gleichen Autors.„Die Analyse legt nahe, dass revil wahrscheinlich mit der GandCrab Ransomware aufgrund ähnlichen Code und die Entstehung von revil verbunden ist als GandCrab Aktivität zurückgegangen“, - Bericht in Secureworks® Zähler Threat Unit ™.
GandCrab war einer der erfolgreichsten Ransomware Familien in 2018 und 2019. Im Juni, Malware-Entwickler sagten, sie waren in der Lage zu verdienen $2 Milliarde seit dem Aufkommen der GandCrab und beschlossen, ihr Geschäft zu beschneiden.
lesen Sie auch: Benutzer haben Angst, über die „STOP“ zu sprechen - eine der aktivsten ransomwares dieses Jahres
Revil erschien zuerst kurz vor der Beendigung des GandCrab und wurde zu einem der bekanntesten Ransomware Familien in 2019.
„Revil hat sicherlich einig Code Spiel mit GandCrab, und es gibt sogar Artefakte, die es sollte vorschlagen, eine Weiterentwicklung des GandCrab sein, und die Angreifer entschieden, dass GandCrab reif war für die Wiederverwendung und Wiederanlauf“, - sagte Forscher Rafe Pilling Pilling.
Nach der Analyse von revil, die Zeichenfolge Decodierfunktionen verwendet und durch revil GandCrab sind nahezu identisch und weisen auf eine Verbindung zwischen den beiden Arten von Ransomware. Böswillige Benutzer auch URL-Gebäude-Funktionalität verwenden, die das gleiche URL-Muster für C erzeugt&C-Server.
Vermutlich, Revil sollte ursprünglich eine neue Version von GandCrab sein, wie es Zeilen im Code, die Verweise auf GandCrab zu sein scheinen. Diese schließen ein "gcfin,“Die Forscher glauben, bedeuten„GandCrab Finale," und "GC6,“Vermutlich im Sinne von„GandCrab 6.“
Zusätzlich zu den Ähnlichkeiten im Code, Revil und GandCrab weiße Liste bestimmte Tastaturlayouts, um nicht zu infizieren, Zum Beispiel, die Gastgeber der Länder der ehemaligen UdSSR.
Obwohl diese Tatsache Verbindung nicht direkt die beiden Kampagnen, es legt nahe, dass ihre Autoren in der gleichen Region befinden.
Wie man sich vor einer Infektion schützen?
Ab dieser Veröffentlichung, Revil enthält keine wurmähnlichen Funktionen, die es ermöglichen würden, während eine Infektion zu verbreiten seitlich. Es müsste über Malware mit dieser Fähigkeit fallen gelassen oder heruntergeladen werden.
Der beste Weg, um den Schaden von Ransomware zu begrenzen, ist zu halten und aktuelle Backups wichtiger Daten zu überprüfen. CTU Forscher empfehlen, dass Organisationen eine beschäftigen 3-2-1 Backup-Strategie erfolgreich Wiederherstellung von Daten im Fall eines Angriffs Ransomware, um sicherzustellen,.
