Kampanye Necurs baru memberikan Scarab Ransomware

Computer Security News

Kampanye botnet Necurs baru memberikan varian baru Scarab ransomware. Kampanye dimulai pada pukul 07:30 UTC pada hari Thanksgiving, dan oleh 13:30 UTC pada hari yang sama, para ahli Forcepoint sudah berhasil untuk memblokir lebih dari 12,5 juta Necurs email.

Perusahaan keamanan F-Secure juga memperhatikan kampanye ransomware baru.

“Pagi ini di 9 AM (Helsinki waktu, UTC + 2) kami mengamati awal kampanye dengan skrip .vbs berbahaya downloaders dikompresi dengan 7zip,” peneliti Paivi Tynninen berkomentar.

“Berdasarkan telemetri kami,” kata para pakar Forcepoint, “sebagian besar lalu lintas sedang dikirim ke .com tingkat atas domain (TLD). Namun, hal ini diikuti oleh TLDs wilayah tertentu untuk Inggris, Australia, Perancis dan Jerman. “

Botnet Necurs yang hits antara 5 dan 6 juta host bulanan, pada awalnya populer untuk menyebarkan Dridex perbankan trojan, Locky ransomware dan ‘pompa-dan-dump’ skema. Tahun ini, botnet telah juga menyampaikan ransomware Jaff dan GlobeImposter, dan Scarab adalah yang terbaru.

Scarab ransomware melihat pada bulan Juni, tahun ini. F-Secure peneliti mengklaim bahwa kode Scarab “didasarkan pada open source ìransomware bukti-of-konsep disebut HiddenTear.”

Necurs botnet adalah memberikan sebuah berbahaya VBS script downloader yang dikompresi dengan 7zip. Identik dengan kampanye sebelumnya, script berisi sejumlah permainan singgasana referensi, seperti string ‘Samwell’ dan ‘JohnSnow’, dan muatan akhir adalah ancaman Scarab.

Email adalah khas Necurs – minimal teks tubuh dengan mata pelajaran yang terkait dengan bisnis; dalam hal ini menyarankan Lampiran berisi gambar scan dokumen. Populer subjek ‘dipindai dari…’ dengan baik Lexmark, HP, meriam atau Epson ditambahkan.

“Download domain yang digunakan sebagai bagian dari kampanye ini adalah dikompromikan situs yang sebelumnya telah digunakan oleh kampanye berbasis Necurs,” tim Forcepoint negara.

Paling mungkin, banyak organisasi akan memiliki domain seperti hitam, bagaimanapun, ukuran tipis kampanye akan menyebabkan infeksi Scarab baru banyak.

Dalam kasus downloader berjalan dan Scarab ransomware diinstal, mengenkripsi file dan menambahkan ekstensi baru berakhir di ‘[suupport@protonmail.com] .scarab’. Alamat email yang merupakan bagian dari perluasan, adalah icludeded kontak email sama dalam catatan tebusan.

Tebusan catatan sendiri bersama nama file ìIF Anda ingin untuk mendapatkan semua YOUR file kembali, silahkan baca ini. TXTî, jatuh ke dalam setiap folder yang terinfeksi. Catatan ini tidak menentukan jumlah uang tebusan yang diperlukan, menyatakan sebaliknya bahwa jumlah akan tergantung pada kecepatan respon korban.

Namun demikian, catatan tebusan menawarkan mendekripsi tiga file gratis untuk membuktikan dekripsi aktif: “Sebelum membayar Anda dapat mengirim hingga 3 file gratis dekripsi.”


Leave a Reply

Your email address will not be published. Required fields are marked *