تکامل باج‌افزار Sodinokibi که با نام REvil نیز شناخته می‌شود، همچنان ادامه دارد.

تکامل باج‌افزار Sodinokibi که با نام REvil نیز شناخته می‌شود، همچنان ادامه دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در جدیدترین مورد، گردانندگان باج‌افزار Sodinokibi اقدام به افزودن قابلیتی کرده‌اند که باج‌افزار را قادر به رمزگذاری، حتی در زمانی که فایل توسط فرایندی دیگر، باز یا قفل شده‌است، می‌کند. بسیاری از برنامه‌ها با قفل کردن فایل، از تغییر همزمان آن توسط فرایندی دیگر جلوگیری می‌کنند. ضمن اینکه در سیستم عامل Windows زمانی که فایلی توسط فرایندی باز و مدیریت می‌شود از نوشته شدن در آن فایل توسط یک فرایند دیگر جلوگیری می‌شود.

بنابراین بدون از کار انداختن فرایند اول، نمی‌توان فایل‌های قفل شده توسط آن را رمزگذاری کرد. به همین خاطر بسیاری از باج‌افزارها برنامه‌های متداولی همچون نرم‌افزارهای پایگاه داده و سرورهای ایمیل را قبل از رمزگذاری فایل‌ها متوقف می‌کنند.

اکنون محققان اعلام کرده‌اند که نسخه جدید Sodinokibi که از آن با عنوان Version ۲,۲ یاد می‌شود از یکی از رابط‌های برنامه‌نویسی Microsoft با نام Windows Restart Manager برای بستن فرایندها و سرویس‌های Windows که فایل‌های هدف این باج‌افزار را قفل می‌کنند بهره می‌گیرد.
تصویر زیر بخشی از کد باج‌افزار را نشان می‌دهد که در آن از رابط برنامه‌نویسی Windows Restart Manager استفاده شده است.