Новый шифровальщик от Necurs - "Скарабей"
Эксперты фиксируют новый всплеск вредоносного спама с ботнета Necurs. По имеющимся данным, текущие спам-рассылки нацелены на распространение вымогательского ПО Scarab, обнаруженного в июне.
Первые спам-сообщения в рамках новой вредоносной кампании появились вчера рано утром, и к полудню их число, по оценкам наблюдателей, достигло 12,5 миллионов. Вредоносные письма снабжены 7Zip-вложением, замаскированным под скан документа и содержащим VBS-скрипт для загрузки и запуска Scarab.
Анализ показал, что данный троянец создан на базе исходного кода Hidden Tear — шифровальщика, написанного два года назад ИБ-исследователем и выложенного в открытый доступ в образовательных целях. К сожалению, вирусописатели тоже оценили этот код по достоинству и неоднократно использовали его по прямому назначению.
Текущая версия Scarab, третья по счету, шифрует файлы, добавляя к исходному имени двойное расширение — .scarab и адрес «техподдержки» на ProtonMail. Зловред также удаляет теневые копии Windows и выводит сообщение с требованием выкупа.
Плату за расшифровку надлежит перечислять в биткойнах, однако сумма в сообщении не указана: по словам злоумышленников, размер выкупа зависит от того, насколько быстро жертва свяжется с ними по почте или через BitMessage. Вымогатели также предлагают для пробы бесплатно расшифровать три файла общим объемом не более 10 Мбайт — «без ценной информации», разумеется.
Насколько известно, расшифровать файлы, полоненные Scarab, без уплаты выкупа пока невозможно.
В заключение стоит отметить, что масштабный ботнет Necurs очень часто используется для распространения вредоносных программ — шифровальщиков, банковских троянцев. Последние годы Necurs активно рассылает спам, нацеленный на засев Locky; иногда эта полезная нагрузка чередуется с Dridex. В начале лета через такие сообщения раздавался вымогатель Jaff, затем банкер Trickbot, а к осени Necurs вновь переключился на Locky.