O REvil ransomware voltou com uma nova infraestrutura e uma amostra de malware atualizada com um criptografador modificado para ataques mais direcionados.

As atividades do servidor Tor do REvil foram descobertas há algumas semanas. Recentemente, vários analistas e pesquisadores de malware afirmaram ter encontrado uma amostra REvil em uma operação recente.

O exemplo discutido abaixo é compilado a partir do código-fonte original com novas alterações, indicando acesso direto ao código-fonte. Um pesquisador de segurança twittou que a amostra mudou seu número de versão para 1.0.

No entanto, é uma continuação da última versão, 2.08, lançada pelo REvil antes de ser desativada. Embora o representante oficial do REvil ainda esteja ausente, os pesquisadores afirmam que um dos principais desenvolvedores originais relançou a operação.

A amostra recente do REvil tem várias novas adições e aprimoramentos de código. Ele tem um novo campo de configuração, ‘accs’, que inclui um conjunto de credenciais para destinos específicos.

Esse método é usado para interromper a criptografia em outros dispositivos que não incluem determinadas contas e domínios do Windows, tornando-o adequado para ataques altamente direcionados.