致敬？REvil勒索軟體出現山寨版

REvil勒索軟體令企業聞風喪膽，似乎也成駭客界「致敬」的對象。安全廠商發現一隻新的勒索軟體LV，程式碼和REvil某個版本幾乎一模一樣，似乎是新瓶舊酒的概念。

圖片來源_ID Ransomware blog

Secureworks Counter Threat Unite (CTU)分析LV勒索軟體，發現它和REvil具有相同的程式架構，顯示它背後的組織Gold Northfield可能是向REvil的營運組織Gold Southfield買原始碼，或與REvil共享程式碼，就是REvil程式碼被黑吃黑，竊走了程式碼。

研究人員尚未看到LV勒索軟體在地下駭客論壇張貼廣告，但分析LV組態中的campaign ID，以及叫陣、羞辱受害者的作風顯示，Gold Northfield推出了勒索軟體即服務（Ransomware-as-a-Service）。

CTU分析證實Gold Northfield可能是置換了REvil 2.03 beta版的組態，而將REvil的二進位檔改造為己用。這麼做需要REvil和LV兩者具有一模一樣的組態格式。它做了2件事，先從REvil二進位檔抓出具備重要元素的字串後，予以加密成為LV組態。第2步是產生這個組態的新雜湊，以此新版本置換REvil二進位檔中儲存的舊雜湊。最後Gold Northfield為REvil二進位檔加入所有必要元素。

成功的話，就能使該二進位檔以LV組態檔執行，等於置換成Gold Northfield的腦袋，以LV 公鑰保護的連線金鑰（session key）來加密受害者檔案，而受害者也會收到LV勒索軟體訊息，被導向LV勒索軟體網站。

研究人員判斷這比較像是一種吃REvil豆腐的行為，駭客不想投入資源開發，想做無本生意，藉由竊取他人辛苦開發的成果獲取最大利益。研究人員也預期開發REvil的Gold Southfield必定不滿被竊取程式碼，未來一定會加入更嚴格的防竄改保護措施。

REvil無疑是近來最知名的勒索軟體，受害者不計其數，醫院、大型製造業都曾遭其毒手。光是臺灣，就有日月光旗下的Asteeflash、宏碁，以及最近的廣達電腦傳出被攻擊勒贖數千萬美元。最近知名受害者是美國政府核武外包商Sol Oriens，全球最大肉品供應商JBS被駭可能也是REvil所為。