Электронные письма, в которых содержался Scarab, были замаскированы под архивы с отсканированными изображениями.
24 ноября зафиксировано распространение вируса-шифровальщика Scarab с помощью крупнейшей спам-ботнетсети "Necurs".
Об этом информирует департамент Нацполиции Украины.
Специалисты из кибербезопасности установили, что с использованием "Necurs" было отправлено более 12,5 миллионов электронных писем, в которых содержались файлы с новой версии Scarab ransomware.
Электронные письма, в которых содержался Scarab, были замаскированы под архивы с отсканированными изображениями.
Пользователи электронной почты, получая сообщения, видели что к нему вроде были прикреплены файлы с изображениями отсканированных документов. Например:
"Отсканировано от Lexmark”
“Отсканировано от HP”
“Отсканировано от Canon”
“Отсканировано от Epson”
Эти письма содержали внутри архив 7Zip, с заархивированным Visual Basic скриптом. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл - вирус Scarab ransomware.
После успешного шифрования вирус создает и автоматически открывает текстовый файл ("ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧИТАЙТЕ ЙОГО.ТХТ"), а затем размещает его на рабочем столе.
Сумма выкупа в сообщении не указывается. Однако злоумышленники обращают внимание жертвы на том, что сумма выкупа будет увеличиваться со временем, пока потерпевший не свяжется с авторами Scarab электронной почте или BitMessage.
За сутки к Департаменту киберполиции Национальной полиции Украины не поступало обращений и заявлений по поводу поражения этим вирусом.
Для уменьшения риска заражения техники вирусом, специалисты по киберполиции рекомендуют пользователям тщательно и внимательно относиться ко всей электронной корреспонденции. Не стоит открывать такие приложения, даже если они поступили из надежного, по Вашему мнению, источники. Советуем получать подтверждение отправки файла от адресата другими доступными каналами связи (телефон, смс,мессенджеры).
Scarab - это вирус, который шифрует различные пользовательские данные. Во время шифрования Scarab добавляет имена файлов с помощью расширения ". [Suupport @mail.ru] .scarab". Например, "sample.jpg" переименован в "sample.jpg. [Suupport@mail.ru] .scarab". Обновленные варианты Scarab дополняют шифрования файлов [Suupport@protonmail.com] .scarab расширением. Другие варианты этой исправления добавляют расширения [unlocking.guarantee@aol.com] зашифрованных файлов.
Сегодняшняя версия Scarab добавляет к имени файла расширение:
". [Suupport@protonmail.com] .scarab ".
Вирус впервые был обнаружен специалистами по кибербезопасности в июне 2017 года.
Напомним, во вторник, 24 октября, хакеры атаковали сайт Министерства инфраструктуры, после этого взломали информационную систему международного аэропорта "Одесса", а затем их жертвой стал киевский метрополитен.
СБУ удалось заблокировать распространение компьютерного вируса-шифровщика и выяснить, что доставка вируса происходит с использованием фишинговых писем электронной почты с обратным адресом, которая ассоциируется со службой техподдержки компании Майкрософт.