Chiến dịch Necurs mới cung cấp Scarab Ransomware

Computer Security News

Một chiến dịch thương hiệu mới Necurs botnet cung cấp một phiên bản mới của Scarab ransomware. Chiến dịch bắt đầu lúc 07:30 UTC ngày Lễ Tạ ơn, và 13:30 UTC cùng ngày, các chuyên gia Forcepoint đã đã quản lý để ngăn chặn 12,5 triệu Necurs email.

Công ty bảo mật an toàn của F cũng nhận thấy các chiến dịch ransomware mới.

“Sáng nay tại 9 AM (Helsinki thời gian UTC + 2) chúng tôi quan sát thấy sự bắt đầu của một chiến dịch với nén với 7zip, phần mềm Download script độc hại .vbs” các nhà nghiên cứu Paivi Tynninen nhận xét.

“Dựa trên từ xa của chúng tôi,” nói rằng các chuyên gia Forcepoint, “đa số giao thông đang được gửi đến .com tên miền cấp cao (tên miền). Tuy nhiên, điều này được tiếp theo là tên miền cấp cao cụ thể vùng cho Vương Quốc Anh, Úc, Pháp và Đức. “

Necurs botnet mà số truy cập giữa các máy chủ 5 và 6 triệu hàng tháng, ban đầu phổ biến nhất lây lan Dridex ngân hàng trojan, Locky ransomware và đề án ‘bơm-và-dump’. Năm nay, botnet này cũng đã gửi ransomware Jaff và GlobeImposter, và Scarab là một trong gần đây nhất.

Scarab ransomware đã nhận thấy trong tháng sáu, năm nay. F-Secure các nhà nghiên cứu cho rằng bộ luật của Scarab “dựa trên mã nguồn mở ìransomware proof-of-khái niệm được gọi là HiddenTear.”

Necurs botnet cung cấp một downloader script độc hại VBS mà được nén với 7zip. Giống nhau để chiến dịch trước đó, đoạn mã có chứa một số tài liệu tham khảo trò chơi của Thrones, chẳng hạn như xâu ‘Samwell’ và ‘JohnSnow’, và tải trọng cuối cùng là các mối đe dọa Scarab.

Email là điển hình Necurs – tối thiểu văn bản cơ thể với các đối tượng liên quan đến kinh doanh; trong trường hợp này cho thấy tập tin đính kèm có chứa hình ảnh của tài liệu được quét. Đối tượng phổ biến được ‘quét từ…’ với hai Lexmark, HP, Cannon hay Epson thêm.

“Tải về tên miền được sử dụng như một phần của chiến dịch này đã là thỏa hiệp các trang web mà trước đó đã được sử dụng bởi chiến dịch dựa trên Necurs,” Forcepoint đội tuyển quốc gia.

Có lẽ, nhiều tổ chức sẽ có tên miền như vậy được danh sách đen, Tuy nhiên, kích thước tuyệt đối của chiến dịch có khả năng sẽ dẫn đến nhiều bệnh nhiễm trùng mới Scarab.

Trong trường hợp các downloader chạy và Scarab ransomware được cài đặt, nó mã hóa tập tin và gắn thêm một phần mở rộng mới kết thúc bằng ‘[suupport@protonmail.com] .scarab’. Địa chỉ email là một phần của phần mở rộng là icludeded email liên lạc cùng trong lưu ý đòi tiền chuộc.

Tiền chuộc lưu ý riêng của mình cùng với tên tập tin ìIF bạn muốn để có được tất cả của bạn tập tin trở lại, xin vui lòng đọc này. TXTî, bỏ vào từng thư mục bị nhiễm bệnh. Lưu ý điều này không ghi rõ số lượng tiền chuộc bắt buộc, thay vào đó nêu rõ số tiền sẽ phụ thuộc vào tốc độ phản ứng của nạn nhân.

Tuy nhiên, lưu ý tiền chuộc cung cấp ba tập tin miễn phí để chứng minh giải mã giải mã hoạt động: “Trước khi trả tiền bạn có thể gửi cho chúng tôi lên đến 3 file miễn phí giải mã.”


Leave a Reply

Your email address will not be published. Required fields are marked *