【安全资讯】研究人员发布REvil勒索软件的通用解密器

引言

今年7月13日，REvil勒索团伙的部分基础设施下线，导致未支付赎金的受感染受害者无法恢复其加密数据。9月16日，Bitdefender公司发布了针对REvil勒索软件的通用解密器，适用于7月13日之前遭到REvil攻击的所有受害者，可以帮助受害者免费恢复文件。

简况

BleepingComputer的研究人员利用今年早些时候的REvil样本对其进行了验证，确定解密器可以正常使用。7月份时，Kaseya也曾获得了REvil解密器，但当时的解密工具只适用于针对Kaseya的攻击活动的受害者。解密器如下图：

REvil又名Sodinokibi，是一个勒索软件即服务（RaaS）组织，据悉是GandCrab勒索软件团伙的分支。REvil今年至少攻击了360家美国组织，包括对宏碁、JBS、广达电脑等公司的高调攻击。7月初，REvil勒索软件团伙对Kaseya发起大规模攻击，加密了全球60家托管服务提供商和1500多家企业。

由于面临国际执法部门的严密审查以及俄罗斯和美国之间日益加剧的政治紧张局势， REvil 于 7 月 13 日突然停止运营。但本月7日，REvil勒索软件突然重新启动Happy Blog网站，一名成员声称只是休息了一下，如下图：

通用解密工具的下载链接如下（警告：建议只在虚拟机上下载运行该软件，切勿在本机上运行）：

http://download[.]bitdefender[.]com/am/malware_removal/BDREvilDecryptor.exe

解密工具的分布教程如下：

https://www[.]nomoreransom[.]org/uploads/REvil_documentation[.]pdf

总结

这款主解密器的发布对于现有受害者来说是一个巨大的福音。随着REvil勒索的卷土重来，新的 REvil 攻击即将来临，Bitdefender敦促组织应保持高度警惕并采取必要的预防措施。