什么是REvil勒索软件？

REvil 是一种勒索软件即服务(RaaS)勒索软件攻击，影响了许多大公司和名人。阅读本文以了解有关 REvil 勒索软件的更多信息、其幕后黑手，以及如何预防和减轻类似的网络攻击。

什么是 REvil 勒索软件？

REvil 是一家总部位于俄罗斯的 RaaS 运营商，可能成立于 2019 年，并通过附属公司运营以分发恶意软件。在感染系统后，勒索软件会加密文件，攻击者威胁要在他们名为“快乐博客”的页面上发布被盗数据，除非他们收到赎金。REvil 勒索软件类似于位于东欧的黑客组织DarkSide使用的代码和勒索信。它也是在另一个 RaaS 模型 GandCrab 关闭后制定的，研究人员已经能够在两者之间建立一些联系。

勒索软件的名称 REvil 是“勒索软件”和“邪恶”的组合；该勒索软件也称为 Sodinokibi。REvil 于 2019 年首次制定，2021 年被国际部队解散，2022 年 1 月被俄罗斯官员解散。一些安全专家认为，2022 年 4 月的泄漏站点与 REvil 的新实例有关，但尚未得到任何证实。

REvil 勒索软件攻击背后有哪些攻击者？

研究人员和安全公司认为，Gold Southfield 是一群受经济利益驱使的网络犯罪分子，是 REvil勒索软件的幕后黑手。REvil 于 2019 年 4 月首次出现，当时 Gold Southfield 收到了来自 Gold Garden 的 GandCrab源代码，Gold Garden 是 GandCrab 勒索软件背后的另一个黑客组织。

REvil 勒索软件的影响是什么？

REvil 勒索软件以公司和个人为目标，窃取他们的私人信息并威胁要在攻击者的网站上公开发布。美国前总统唐纳德·特朗普、Lady Gaga 和麦当娜是 REvil 勒索软件最著名的个人受害者。

受影响的公司包括：

• 哈里斯联合会
• 宏碁支付了 5000 万美元的赎金
• Quanta Computer，支付了 5000 万美元的赎金
• 能源
• JBS，支付了 1100 万美元的赎金
• Kaseya，支付了 7000 万美元的赎金
• HX5

REvil 勒索软件如何工作？

REvil 勒索软件主要通过服务器漏洞和网络钓鱼传播。例如，REvil 勒索软件攻击者使用 Kaseya VSA 服务器平台（请参阅Kaseya 勒索软件攻击）将其勒索软件投放到公司的数百家托管服务提供商(MSP)。

进入目标系统后，REvil 能够下载包含勒索代码的.zip 文件，对文件进行加密，并附加随机扩展名。尽管受感染的系统仍然可以运行，但存储在系统上的所有重要信息都不再可用。加密后，新安装的恶意软件通过 C2 服务器与受害者进行通信，攻击者使用该服务器与受感染的系统进行通信并提供密钥。

用户应该采取哪些具体步骤来防止类似 REvil 的攻击？

以下是用户可以采取的一些安全措施，以防止像 REvil 这样的勒索软件攻击：

• 经常备份数据。
• 培训员工避免使用恶意电子邮件和可疑软件。
• 使用安全补丁和最新的错误修复保持系统更新。
• 部署多重身份验证(MFA)。

许多专门的安全工具可用于检测、阻止和缓解勒索软件攻击。在此处了解一些最佳勒索软件保护。