Yeni Necurs kampanya Scarab Ransomware sunar

Computer Security News

Yepyeni bir Necurs botnet kampanya Scarab ransomware yeni bir varyant sağlamaktadır. Kampanya başlattı 0730: Şükran günü ve 13:30 UTC UTC aynı gün Forcepoint uzmanlar zaten yönetilen 12,5 milyonun üzerinde Necurs e-postaları engellemek.

F-Secure güvenlik şirketi de yeni ransomware kampanya fark ettim.

“Bu sabah, 9 AM (Helsinki saat, UTC + 2) biz bir kampanya başlangıcı ile kötü niyetli .vbs komut dosyası downloaders 7zip ile sıkıştırılmış gözlenen” Paivi Tynninen yorumladı araştırmacı.

Forcepoint uzmanlar dedi, “Bizim telemetri dayalı” “trafik çoğunluğu için .com gönderilir üst düzey etki alanı (TLD). Ancak, bu bölgeye özgü TLD’ler için Birleşik Krallık, Avustralya, izledi Fransa ve Almanya. “

5 ve 6 milyon ana makinesi arasında aylık, hits Necurs botnet Bankacılık Truva, Locky ransomware ve ‘pompa ve dökümü’ şemaları Dridex yaymak için başlangıçta popüler oldu. Bu yıl, botnet Ayrıca Jaff ve GlobeImposter ransomware vermiştir ve bokböceği en son bir şey.

Scarab ransomware Haziran ayında bu yıl fark edildi. F-Secure araştırmacılar iddia kodunu Scarab “açık kaynak ìransomware kanıt-in – HiddenTear denilen dayanmaktadır.”

Necurs botnet 7zip ile sıkıştırılmış olan kötü niyetli bir VBS komut dosyası downloader sağlamaktadır. Aynı şekilde önceki kampanyaları için komut dizeleri ‘Samwell’ ve ‘JohnSnow’, gibi oyunlar tahtlar başvuruları içerir ve son yükü Scarab tehdit.

E-posta tipik Necurs – iş ile ilgili konular ile en az metin vücut olduğunu; Bu durumda ek öne taranan belgelerin görüntüleri içerir. Popüler Konular ‘inceden inceye gözden geçirmek–dan…’ ya Lexmark ile HP, top ve Epson eklendi.

“Bu kampanyanın parçası olarak güvenliği aşılan siteleri hangi daha önce Necurs dayalı kampanyalar tarafından kullanılmış olan kullanılan download etki alanlarının” Forcepoint takım devletler.

En büyük olasılıkla, pek çok kuruluş kara listeye böyle etki olacaktır, ancak, kampanya çok büyük olasılıkla birçok yeni Scarab enfeksiyonlara yol açacaktır.

-Dibi takdirde belgili tanımlık downloader çalışır ve Scarab ransomware yüklü, dosyaları şifreler ve ‘[suupport@protonmail.com] .scarab’ bitiş yeni bir uzantısı ekler. Fidye notu aynı iletişim e-posta icludeded uzantısı’nın parçası olan e-posta adresi var.

Fidye notunu kendisi ile birlikte dosya adı ìIF seni istiyorum için olsun tüm dosyaları geri YOUR, lütfen okuyun bu. TXTî, her virüslü klasör düştü. Bu notu değil bunun yerine tutar kurbanın yanıt hızına bağlı olacaktır belirten gerekli, fidye miktarı belirt

Yine de, ücretsiz şifre çözme kanıtlamak için üç dosya şifresini çözmek üzere etkin fidye notu sunar: “Sana para 3 kadar bize göndermek için önce eğe için özgür şifre çözme.”


Leave a Reply

Your email address will not be published. Required fields are marked *