致敬？REvil勒索软件出现山寨版

REvil勒索软件令企业闻风丧胆，似乎也成骇客界“致敬”的对象。安全厂商发现一只新的勒索软件LV，程式码和REvil某个版本几乎一模一样，似乎是新瓶旧酒的概念。

图片来源_ID Ransomware blog

Secureworks Counter Threat Unite (CTU)分析LV勒索软件，发现它和REvil具有相同的程式架构，显示它背后的组织Gold Northfield可能是向REvil的营运组织Gold Southfield买源代码，或与REvil共享程式码，就是REvil程式码被黑吃黑，窃走了程式码。

研究人员尚未看到LV勒索软件在地下骇客论坛张贴广告，但分析LV组态中的campaign ID，以及叫阵、羞辱受害者的作风显示，Gold Northfield推出了勒索软件即服务（Ransomware-as-a-Service）。

CTU分析证实Gold Northfield可能是置换了REvil 2.03 beta版的组态，而将REvil的二进制档改造为己用。这么做需要REvil和LV两者具有一模一样的组态格式。它做了2件事，先从REvil二进制档抓出具备重要元素的字串后，予以加密成为LV组态。第2步是产生这个组态的新杂凑，以此新版本置换REvil二进制档中储存的旧杂凑。最后Gold Northfield为REvil二进制档加入所有必要元素。

成功的话，就能使该二进制档以LV组态档执行，等于置换成Gold Northfield的脑袋，以LV 公钥保护的连线金钥（session key）来加密受害者档案，而受害者也会收到LV勒索软件讯息，被导向LV勒索软件网站。

研究人员判断这比较像是一种吃REvil豆腐的行为，骇客不想投入资源开发，想做无本生意，借由窃取他人辛苦开发的成果获取最大利益。研究人员也预期开发REvil的Gold Southfield必定不满被窃取程式码，未来一定会加入更严格的防窜改保护措施。

REvil无疑是近来最知名的勒索软件，受害者不计其数，医院、大型制造业都曾遭其毒手。光是台湾，就有日月光旗下的Asteeflash、宏碁，以及最近的广达电脑传出被攻击勒赎数千万美元。最近知名受害者是美国-核武外包商Sol Oriens，全球最大肉品供应商JBS被骇可能也是REvil所为。