RU EN

Новый шифровальщик от Necurs - "Скарабей"

24.11.2017

Эксперты фиксируют новый всплеск вредоносного спама с ботнета Necurs. По имеющимся данным, текущие спам-рассылки нацелены на распространение вымогательского ПО Scarab, обнаруженного в июне.

Первые спам-сообщения в рамках новой вредоносной кампании появились вчера рано утром, и к полудню их число, по оценкам наблюдателей, достигло 12,5 миллионов. Вредоносные письма снабжены 7Zip-вложением, замаскированным под скан документа и содержащим VBS-скрипт для загрузки и запуска Scarab.

Анализ показал, что данный троянец создан на базе исходного кода Hidden Tear — шифровальщика, написанного два года назад ИБ-исследователем и выложенного в открытый доступ в образовательных целях. К сожалению, вирусописатели тоже оценили этот код по достоинству и неоднократно использовали его по прямому назначению.

Текущая версия Scarab, третья по счету, шифрует файлы, добавляя к исходному имени двойное расширение — .scarab и адрес «техподдержки» на ProtonMail. Зловред также удаляет теневые копии Windows и выводит сообщение с требованием выкупа.

Плату за расшифровку надлежит перечислять в биткойнах, однако сумма в сообщении не указана: по словам злоумышленников, размер выкупа зависит от того, насколько быстро жертва свяжется с ними по почте или через BitMessage. Вымогатели также предлагают для пробы бесплатно расшифровать три файла общим объемом не более 10 Мбайт — «без ценной информации», разумеется.

Насколько известно, расшифровать файлы, полоненные Scarab, без уплаты выкупа пока невозможно.

В заключение стоит отметить, что масштабный ботнет Necurs очень часто используется для распространения вредоносных программ — шифровальщиков, банковских троянцев. Последние годы Necurs активно рассылает спам, нацеленный на засев Locky; иногда эта полезная нагрузка чередуется с Dridex. В начале лета через такие сообщения раздавался вымогатель Jaff, затем банкер Trickbot, а к осени Necurs вновь переключился на Locky.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.