Нова кампанія Necurs забезпечує Scarab Ransomware

Computer Security News

Нової кампанії ботнету Necurs доставку новий варіант Scarab ransomware. Кампанія почалася о 07:30 UTC на день подяки і 13:30 UTC у той же день, Forcepoint експерти вже зумів блок електронній пошті Necurs понад 12,5 млн.

Безпеки компанії, F-Secure також помітив новий вимагачів кампанії.

“Сьогодні вранці в 9 ранку (Хельсінкі раз, UTC + 2) ми спостерігали початку кампанії з зловмисних .vbs сценарій downloaders стиснутий з 7zip,” дослідник Paivi Tynninen прокоментував.

“На наших телеметрії, підставі” Forcepoint експерти сказали, “більшість трафіку надсилається до в. com домену верхнього рівня (TLD). Однак, це було після певного регіону доменів верхнього рівня для Великобританії, Австралії, Франції та Німеччини. “

Necurs ботнету, який б’є між 5 і 6 мільйонів хостів щомісяця, була спочатку популярні для розкидання Dridex банківського трояна, Locky вимагачів і ‘насос і дамп’ схем. У цьому році на ботнет також поставила вимагачів Jaff і GlobeImposter, і скарабей є найостаннішої.

Scarab ransomware було помічено в червні цього року. F-Secure дослідники стверджують, що код скарабей “заснована на з відкритим вихідним кодом ìransomware доказ концепції під назвою HiddenTear.”

Necurs ботнет доставку зловмисних VBS downloader скрипт, який стиснутий з 7zip. Аналогічно до попередніх кампаній скрипт містить ряд ігор Престолів посилання, такі як рядки ‘Samwell’ та ‘JohnSnow’, і остаточний Деструктивна є загроза скарабей.

Email є типовими Necurs – мінімальний текст тіла з бізнес-предметів; При цьому запропонувавши вкладення містить зображення відсканованих документів. Популярнi теми ‘скануються від…’ з будь-якому Lexmark, HP, гармата або Epson додав.

«Завантажити домени використовується як частина цієї кампанії були під загрозу сайтів, які раніше були використані Necurs основі кампаній,» команда Forcepoint держави.

Швидше за все, багато організацій буде мати такі домени чорний список, однак, сам розмір кампанії ймовірно призведе до багато нових інфекцій скарабей.

У випадку, якщо їх завантажити працює і встановлений Scarab ransomware, шифрує файли і додає нові розширення, що закінчуються на ‘[suupport@protonmail.com] .scarab’. Адреса електронної пошти, який є частиною розширення, є ж контактну адресу електронної пошти icludeded у примітці викупу.

Викуп примітки самої поряд на ім’я файлу ìIF ви хочете до отримати всі ваші ФАЙЛИ назад, будь ласка читати це. TXTî, впала в заражених кожної папки. Цю замітку не вказати суму викуп обов’язково, заявивши, замість цього, що сума буде залежати від швидкості реакції жертви.

Тим не менш, викуп Примітка пропонує розшифровки три файли безкоштовно, щоб довести дешифрування активовано: “Перед тим, як оплати ви можете надіслати нам до 3 файли безкоштовно дешифрування.”


Leave a Reply

Your email address will not be published. Required fields are marked *