在俄罗斯和美国之间日益紧张的局势中，臭名昭著的 REvil 勒索软件行动已经卷土重来，新的基础设施和修改后的加密器允许更有针对性的攻击。

10 月，在 执法行动劫持了他们的 Tor 服务器后 ， REvil 勒索软件团伙关闭，随后俄罗斯执法部门逮捕了成员。

然而，在入侵乌克兰后， 俄罗斯表示 美国已退出有关REvil团伙的谈判进程，并关闭了沟通渠道。

REvil 的 Tor 网站恢复生机
不久之后，旧的 REvil Tor 基础设施 再次开始运行，但他们没有显示旧网站，而是将访问者重定向到 URL 以进行新的未命名勒索软件操作。

虽然这些网站看起来与 REvil 以前的网站完全不同，但旧基础设施正在重定向到新网站的事实表明 REvil 很可能再次运行。此外，这些新网站包含新的受害者和在之前的 REvil 攻击中被盗的数据。

虽然这些事件强烈表明 REvil 更名为新的未命名操作，但 Tor 网站之前也在 11 月显示了一条消息，指出“REvil 很糟糕”。

这种对 Tor 站点的访问意味着其他威胁参与者或执法部门可以访问 REvil 的 TOR 站点，因此这些网站本身不足以证明该团伙的回归。

REvil 的 Tor 站点被一条反 REvil 消息污损
来源：zzqidc
确定 REvil 是否回来的唯一方法是找到勒索软件加密器的样本并对其进行分析，以确定它是否被修补或从源代码编译。

本周，AVAST 研究人员 Jakub Kroustek终于发现了新勒索软件操作的加密器样本， 并证实了新操作与 REvil 的联系。

勒索软件样本确认返回
虽然一些勒索软件操作正在使用 REvil 的加密器，但它们都使用修补过的可执行文件，而不是直接访问该团伙的源代码。

然而，多名安全研究人员和恶意软件分析师告诉ZZQIDC，新操作使用的已发现 REvil 样本是从源代码编译而来的，并且包含新的更改。