Это мой анализ полезной нагрузки REvil Ransomware, обнаруженной в инциденте с Kaseya.
Отчет является моей личной работой и никак не связан с участием FireEye/Mandiant в данном инциденте.
Эта программа-вымогатель использует гибридную схему криптографии Curve25519 ECDH и Salsa20 для шифрования файлов и защиты своих ключей.
Она имеет впечатляющий многопоточный подход для обхода и шифрования файлов, а также сложную криптографическую схему с несколькими способами расшифровки файлов.
Этот новый образец также имеет новое поле в конфигурации, позволяющее контролировать, сколько раз записки с выкупом будут сбрасываться в систему.
Скрытый контент для зарегистрированных пользователей.
