Bu rehber, gerçek REvil örneklerinin KEYDAL laboratuvarında statik analizinden elde edilen IOC verilerini içermektedir (8 hash).

REvil Nedir?

REvil, ilk olarak 2019 yılında gözlemlenen bir Fidye Yazılımı (Ransomware)'dır. Temel amacı dosya sistemini şifreleyerek fidye talep etme olan bu zararlı yazılım, Windows ortamlarını hedef almaktadır. C programlama dili ile geliştirilmiş olup C2 iletişiminde HTTPS protokolünü kullanmaktadır.

REvil (Sodinokibi) is a RaaS operated by GOLD SOUTHFIELD. High-profile attacks (Kaseya, JBS). Source code leaked 2021. Predecessor to BlackMatter.

Atıf / Tehdit Aktörü: GOLD SOUTHFIELD, GandCrab successor

Teknik Detay: REvil (Sodinokibi) is a ransomware-as-a-service operated by GOLD SOUTHFIELD. First detected April 2019, believed successor to GandCrab. Uses elliptic curve Diffie-Hellman (ECDH) + Salsa20 for file encryption, RSA-2048 for key exchange. Highly customizable through embedded JSON configuration: target

Nasıl Bulaşır?

Enfeksiyon Belirtileri

Dosya Hash Değerleri (Antivirüs Tespiti İçin)

Gerçek REvil örneklerinden alınan hash değerleri. Antivirüs veya EDR çözümünüzde bu imzaları kontrol edin:

Hash DeğeriTürNot
133bf8be0cf7003b83b03579970997d408a930e58ec2726715140520900c06deSHA256REvil
6628de7ffbbe168a4fa9ff0a1a29b54e88a32e5963db0dd1aea4b80102c8ce01SHA256REvil
3cff33197edc918d47d08f44d6ddbdda157337f0ad58288d15746cf72c0e4c57SHA256REvil
3e6fbc358e0204cb67a41b05771fac74f1b49737c7ab7138e415c7e9628ef545SHA256REvil
17d153a225ea04a229862875795eeec0adb8c3e2769ba0e05073baaf86850467SHA256REvil
77be32b91561d1ac5e36464766b7b0a7MD5REvil
44c753ed1faec948b0d98bc9ba047469MD5REvil
340b6f816bfdcfcb466cfc126c976844MD5REvil
ff1f6956f07e700a86b5986b63ea12dbMD5REvil
ca337c7130eef4f4ff8e8a4a8ec28647MD5REvil

Adım Adım Kaldırma Rehberi

Adım 1 — İnternet Bağlantısını Hemen Kesin

C2 sunucusuyla iletişimi durdurmak için ağ bağlantısını anında kesin. Ethernet kablosunu çekin veya Wi-Fi'yi fiziksel olarak devre dışı bırakın. Bu adım veri sızdırılmasını ve ek yük indirilmesini önler.

Adım 2 — Güvenli Modda Başlatın

Windows'u Ağ Destekli Güvenli Mod'da başlatın:

Adım 3 — REvil Sürecini Sonlandırın

Görev Yöneticisi'ni (Ctrl+Shift+Esc) açın ve şüpheli görünen süreçleri sonlandırın. RKill aracı bilinen zararlı süreçleri otomatik olarak sonlandırır ve tarama öncesinde çalıştırılması önerilir.

Adım 4 — Antivirüs ile Tam Sistem Taraması

Aşağıdaki araçlarla tam sistem taraması yapın (birden fazla araç kullanmak tespit oranını artırır):

Adım 5 — Tarayıcıları Sıfırlayın

Tüm tarayıcıları fabrika ayarlarına sıfırlayın ve kaydedilmiş tüm şifreleri temizleyin:

Şifrelenmiş Dosyaların Kurtarılması

Fidye Ödemeyin

Fidye ödemek dosyaların iade edileceğini garanti etmez ve suç örgütlerini finanse eder.

Yeniden Enfeksiyonu Önleme

Profesyonel Olay Müdahalesi: Kurumsal ortamda saldırı araştırması, adli analiz veya temizleme desteği için KEYDAL güvenlik ekibiyle iletişime geçin.