Kempen Necurs baru menyampaikan Scarab Ransomware

Computer Security News

Kempen botnet Necurs jenama baru adalah menyampaikan variasi baru Scarab ransomware. Kempen bermula pada 07:30 UTC pada hari kesyukuran, dan 13:30 UTC pada hari yang sama, pakar-pakar Forcepoint telahpun berjaya menyekat email Necurs 12.5 juta.

Syarikat Keselamatan F-Secure juga melihat kempen ransomware yang baru.

“Pagi ini pada 9 AM (Helsinki waktu, UTC + 2) kami menyaksikan permulaan kempen dengan berniat jahat .vbs skrip downloaders dimampatkan dengan 7zip,” penyelidik mengulas Paivi Tynninen.

“Berdasarkan telemetry kami,” kata pakar-pakar Forcepoint, “majoriti trafik telah dihantar untuk di domain aras tertinggi (PPP). Walau bagaimanapun, ini diikuti oleh TLDs rantau khusus untuk United Kingdom, Australia, Perancis dan Jerman. “

Botnet Necurs yang melanda antara hos 5 dan 6 juta setiap bulan, adalah pada mulanya popular untuk menyebarkan Dridex perbankan trojan, Locky ransomware dan skim-skim ‘pam-dan-longgokan’. Tahun ini, botnet yang turut menghasilkan Jaff dan GlobeImposter ransomware, dan Scarab adalah yang terbaru.

Scarab ransomware adalah melihat pada bulan Jun tahun ini. F-Secure penyelidik mendakwa bahawa Kod Scarab “adalah berdasarkan kepada sumber terbuka ìransomware bukti-of-konsep dipanggil HiddenTear.”

Necurs botnet adalah menyampaikan sebuah downloader skrip VBS berniat jahat yang dimampatkan dengan 7zip. Pada kempen sebelumnya, skrip mengandungi beberapa rujukan permainan pelamin, seperti tali ‘Samwell’ dan ‘JohnSnow’, dan muatan yang akhir adalah ancaman Scarab.

E-mel adalah tipikal Necurs – teks minimum badan dengan matapelajaran berkaitan perniagaan; dalam kes ini mencadangkan lampiran mengandungi imej imbasan dokumen. Subjek popular akan ‘diimbas dari…’ dengan mana-mana Lexmark, HP, meriam atau Epson ditambah.

“Muat turun domain digunakan sebagai sebahagian daripada kempen ini telah dikompromi tapak yang sebelum ini telah digunakan oleh kempen berasaskan Necurs,” Forcepoint pasukan Negeri.

Mungkin, banyak organisasi akan mempunyai apa-apa domain yang disenaraihitamkan, Walau bagaimanapun, saiz semata-mata kempen ini mungkin akan membawa kepada banyak jangkitan Scarab yang baru.

Dalam kes downloader yang berjalan dan Scarab ransomware telah dipasang, ia menyulitkan fail dan appends sambungan baru yang berakhir dengan ‘[suupport@protonmail.com] .scarab’. Alamat e-mel yang merupakan sebahagian daripada lanjutan, adalah icludeded hubungi e-mel yang sama dalam Nota tebusan.

Tebusan Nota sendiri bersama-sama dengan nama fail ìIF anda mahu untuk mendapatkan semua anda fail kembali, sila baca ini. TXTî, jatuh ke dalam setiap folder yang dijangkiti. Nota ini tidak menentukan jumlah fidyah yang perlu, yang menyatakan sebaliknya jumlah akan bergantung pada kelajuan tindak balas mangsa.

Walau bagaimanapun, Nota tebusan yang menawarkan mendekripsikan tiga fail percuma untuk membuktikan dekripsi yang sedang aktif: “Sebelum membayar anda boleh menghantar kami sehingga 3 fail percuma dekripsi.”


Leave a Reply

Your email address will not be published. Required fields are marked *