Il Ransomware Scarab è una variante di Hidden Tear, un ransomware open-source rilasciato nel 2015 usato sia a fini di studio che per fini criminosi. I nostri tecnici sono in grado di risolvere quest'infezione: chi avesse subito questo attacco può scriverci alla mail alessandro@nwkcloud.com e/o visitare il sito www.decryptolocker.it
Come si diffonde
I vettori di diffusione del ransomware Scarab sono email di spam contenenti allegati che veicolano l'eseguibile del ransomware.
Come cripta i file
Gli allegati, di solito .zip., contengono l'eseguibile del ransomware: l'exe viene di solito copiato nelle cartelle di sistema. L'esecuzione del .exe comporta l'infezione: per prima cosa il ransomware esegue
una scansione del computer in cerca dei file da criptare, quindi si connette al proprio server C&C per inviare informazioni sul pc infetto e l'ID univoco che identifica il pc stesso.
Scarab modifica il nome del file aggiungendo, dopo l'estensione reale, un indirizzo email, quindi l'estensione .scarab.
Lo schema di criptazione è quindi questo (fare riferimento all'immagine sotto)
documento.doc.[xxxx@xxx.xx].scarab
documento.doc.[xxxx@xxx.xx].scarab
Scarab cerca di impedire il recupero dei file
Scarab cancella sia i punti di ripristino di sistema sia le copie shadow di volume: queste azioni impediscono il ripristino dei file. Per fare ciò Scarab utilizza il comando vssadmin, che permette al ransomware di operare con i privilegi di amministratore.
La nota di riscatto
Il ransomware Scarab ha due versioni della nota di riscatto: una immagine .bmp che viene posta a sostituzione dell sfondo del desktop e un file .txt che lascia nelle cartelle dove cripta i file.
Nessun commento:
Posta un commento