Il ransomware Scarab (ne abbiamo parlato qui, ricordiamo che la versione 1.0 è risolvibile ), è stato individuato per la prima volta a Giugno: ora è in diffusione attraverso milioni di email di spam lanciate dalla botnet Necurs, la più grossa botnet per l'email spamming. La campagna è cominciata alle prime ore del mattino di ieri.
Necurs sta diffondendo milioni di email di spam
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab.
Secondo ForcePoint Necurs ha già inviato oltre 20 milioni di email, che diffondono la nuova versione del Ransomware Scarab.
 |
| Fonte: Forcepoint |
Scarab è il quarto tipo di ransomware messo in diffusione da Necurs quest'anno, dopo Locky, Jaff e GlobeImposter (leggi qui e qui. La botnet ha diffuso anche il trojan bancario Dridex, uil trojan bancario TrickBot e altri malware secondari.
Le email di Scarab allegano archivi con immagini scannerizzate
Le email che diffondono il ransomware Scarab seguono uno schema già visto in passato con lo spam di Necurs: l'oggetto dell'email dà l'impressione che la mail rechi con se importanti documenti/immagini scannerizzati. Gli oggetti mail più comuni sono:
Scanned from Lexmark
Scanned from HP
Scanned from Canon
Scanned from Epson
Queste email hanno, come allegato, un archivio ZIP che contiene uno script Visual Basic. Lo script serve a scaricare ed eseguire il file .exe del ransomware. Lo script Visual Basic contiene gli stessi riferimenti al Trono di Spade già visti in Settembre, durante la campagna di diffusione, sempre da parte di Necurs, del ransomware Locky.
Il ransomware Scarab
Scarab è un ransomware relativamente nuovo: è scritto in Delphi. La prima versione è facilmente riconoscibile: cripta i file modificandone l'estensione in .scarab. La seconda versione è stata individuata in Luglio e usava l'estensione .scorpio. L'ultima versione, ad oggi in diffusione, usa di nuovo l'estensione .scarab. La versione attuale cripta i file, ma non modifica anche il nome del file, diversamente dalla prima versione. Questa versione usa, nel dettaglio, come estensione la seguente: [suupport@protonmail.com].scarab
Cancella anche le copie shadow di volume e lascia sul computer infetto una nota di riscatto rinominata "IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT"
Una nota di riscatto particolare: non dà un entità del riscatto, avvisa semplicemente che prima si contatterà l'attaccante, tanto più ridotto sarà l'ammontare.
La versione attuale non ha soluzioni attualmente.
Nessun commento:
Posta un commento