Το REvil ransomware, το οποίο είναι γνωστό και ως Sodinokibi, παρατηρήθηκε έντονα στα τέλη του Απριλίου του 2019. Το REvil ransomware είναι μέρος του Ransomware-as-a-Service (RaaS), στο οποίο ένα σύνολο ατόμων διατηρεί τον πηγαίο κώδικα, ενώ άλλες θυγατρικές ομάδες διανέμουν το ransomware. Πολλοί είναι οι ερευνητές που θεωρούν ότι το REvil ransomware είναι παρόμοιο με το GandCrab ransomware, δεδομένου ότι με την εμφάνιση του REvil ransomware, μειώθηκε σε μεγάλο βαθμό η δραστηριότητα του GandCrab ransomware, ενώ παράλληλα έχουν ίδιους κώδικες. Οι χάκερς που βρίσκονται πίσω από την ανάπτυξη και τη συντήρηση αυτού του κακόβουλου λογισμικού έχουν κυκλοφορήσει μία νέα έκδοση αυτού του ransomware, το REvil ransomware 2.2. Η νέα αυτή έκδοση του ransomware χρησιμοποιεί το Windows Restart Manager API, έχοντας ως στόχο τον τερματισμό διαδικασιών που ανοίγουν το αρχείο που έχει στοχοποιηθεί για κρυπτογράφηση. Αυτό οφείλεται στο γεγονός ότι εάν το αρχείο ανοίξει με μια συγκεκριμένη διαδικασία, τότε μια άλλη διαδικασία στο ίδιο αρχείο θα τερματιστεί από το σύστημα των Windows. Οι ερευνητές της Intel 471 Malware Intelligence διαπίστωσαν ότι το Sodinokibi ransomware έχει πλέον εφαρμόσει αυτήν την τεχνική, χρησιμοποιώντας τον Windows Restart Manager. Ο Windows Restart Manager χρησιμοποιείται και από άλλα ransomware, όπως το SamSam και το LockerGoga. Επιπλέον, το REVIL ransomware ανοίγει αρχεία για κρυπτογράφηση χωρίς sharing (το dwShareMode ισούται με 0). Αυτό έχει ως αποτέλεσμα, ο Restart Manager να ειδοποιείται κάθε φορά που εντοπίζεται κάποια προσπάθεια ανοίγματος ενός ήδη ανοιχτού αρχείου. Επιπλέον, οι χάκερς πρόσθεσαν μια command-line επιλογή, που είναι “αθόρυβη” και παραλείπει τις blacklisted διαδικασίες και υπηρεσίες καθώς και την διαγραφή σκιωδών αντιγράφων.
Ο δημοφιλής αναλυτής Vitali Kremez σημείωσε ότι το REvil Decryptor v2.2 χρησιμοποιεί και το Windows Restart Manager API για να τερματίσει οποιαδήποτε διαδικασία κατά την οποία τα αρχεία αποκρυπτογραφούνται. Τέλος, με τις νέες δυνατότητες που έχουν προστεθεί τώρα, το REvil Ransomware 2.2 μπορεί να κρυπτογραφήσει ορισμένα εξαιρετικά κρίσιμα αρχεία.
