Nowa kampania Necurs dostarcza Scarab Ransomware

Computer Security News

Zupełnie nową kampanię botnet Necurs jest dostarczanie wariant Scarab ransomware. Kampania rozpoczęła się o 07:30 UTC na Święto Dziękczynienia i 13:30 UTC w tym samym dniu, eksperci Forcepoint już udało się zablokować e-maile ponad 12,5 miliona Necurs.

Bezpieczeństwo firmy F-Secure również zauważyłem nową kampanię ransomware.

“Dziś rano na 9 AM (Helsinki time, UTC + 2) zaobserwowaliśmy na początku kampanii z .vbs złośliwy skrypt pobierających skompresowanym 7zip,” naukowiec powiedział, Paivi Tynninen.

“W oparciu o nasze telemetrii,” powiedział ekspertów Forcepoint, “większość ruch jest wysyłany do .com domeny najwyższego poziomu (TLD). Jednak, to było po TLD specyficzne dla Wielkiej Brytanii, Australii, Francji i Niemcy. “

Necurs botnet, który trafi między 5 i 6 milionów hostów miesięcznie, był początkowo popularny za szerzenie Dridex bankowości trojan, Locky ransomware i schematy ‘pompy i zrzutu’. W tym roku botnet wydał również ransomware Jaff i GlobeImposter, i Skarabeusz jest ostatnią.

Scarab ransomware został zauważony w czerwcu tego roku. F-Secure Naukowcy twierdzą, że kod Skarabeusz “jest oparty na open source ìransomware dowód koncepcji o nazwie HiddenTear.”

Necurs botnet jest dostarczanie złośliwego downloader skrypt VBS, który jest skompresowanym 7zip. Identycznie jak poprzednie kampanie skrypt zawiera liczbę odwołań do gry o tron, takich jak ciągi ‘Samwell’ i ‘JohnSnow’, i końcowe ładunek jest zagrożenie skarabeusza.

E-mail jest typowym Necurs – Minimalna treść z przedmiotów związanych z biznesem; w takim przypadku sugeruje załącznik zawiera obrazów skanowanych dokumentów. Popularne tematy ‘skanowane są od…’ z obu Lexmark HP, armaty lub Epson dodane.

“Pobierz domen, używane jako część tej kampanii były zagrożone miejsca, które wcześniej były używane przez kampanie oparte na Necurs,” zespół Forcepoint państwa.

Prawdopodobnie wiele organizacji będzie miał takich domen na czarnej liście, jednak rozległość kampanii prawdopodobnie doprowadzi do wielu nowych zakażeń skarabeusza.

W przypadku programu downloader działa i Scarab ransomware jest zainstalowany, szyfruje pliki i dołącza nowe rozszerzenie kończące się na ‘[suupport@protonmail.com] .scarab’. Adres e-mail, który jest częścią rozszerzenie, jest sam kontakt e-mail icludeded w okupu.

Okupu się obok nazwy pliku ìIF Ci potrzeba do GET wszystkie Twoje pliki BACK, proszę przeczytać ten. TXTî, jest przenoszony do każdego zainfekowanego folderu. Uwaga ta nie określa wysokość okupu wymagane, zamiast stwierdzające, że kwota zależy od szybkości reakcji ofiary.

Niemniej jednak okupu oferuje odszyfrowywania trzy pliki za darmo, aby udowodnić odszyfrowywania jest aktywny: “Zanim płacenia możesz wysłać do nas do 3 pliki za darmo odszyfrowywania.”


Leave a Reply

Your email address will not be published. Required fields are marked *