导语:近日,据外媒报道称,新型勒索软件“圣甲虫(Scarab)”正在通过大规模的垃圾邮件僵尸网络感染全球数百万用户设备,该僵尸网络就是可怕的Necurs。

近日,据外媒报道称,新型勒索软件“圣甲虫(Scarab)”正在通过大规模的垃圾邮件僵尸网络感染全球数百万用户设备,该僵尸网络就是可怕的Necurs。

关于Scarab 

“圣甲虫(Scarab)”是一种新型勒索软件变种,于今年6月份由安全研究人员Michael Gillespie率先发现,目前其正在通过一个大规模的垃圾邮件僵尸网络Necurs感染全球数百万计算机用户。Necurs僵尸网络在过去几个月已经被用于传播其他许多恶意软件,包括Locky、Jaff、GlobeImposter、Dridex以及Trickbot。

通过Necurs僵尸网络传播的“圣甲虫(Scarab)”勒索软件

据悉,新一轮的垃圾邮件活动是从美国感恩节(11月23日)开始的,目前许多安全社区的专家已经针对正在进行的垃圾邮件活动发表了分析报告,其中包括安全公司F-Secure和Forcepoint。

根据安全厂商Forcepoint发布的分析报告显示,在短短几个小时的时间内,通过Necurs僵尸网络发送的包含Scarab勒索软件的垃圾电子邮件就已经超过了1250万封。

Forcepoint在其分析报告中指出,

Forcepoint安全实验室已经观察到臭名昭著的Necurs僵尸网络正在传播另一种名为‘Scarab’的勒索软件。此次大规模的垃圾邮件活动开始于世界时间早上7:30,截止到当天中午13:30,已经发送了共计1250万包含‘Scarab’勒索软件的垃圾电子邮件。

此外,F-Secure公司的报告中也指出,

Necurs垃圾邮件僵尸网络的业务表现一直很好,因为它似乎正在开发新的客户。Necurs僵尸网络是最大的垃圾邮件发送者,每月在线向500-600万受感染的主机传播垃圾邮件。它的服务模式提供了整个感染链:从包含恶意软件下载器附件的垃圾邮件,到托管受感染网站上的有效载荷。令我们吃惊的是,我们最新发现的有效载荷是‘Scarab’勒索软件,是我们前所未见的大规模垃圾邮件活动。‘Scarab’勒索软件是今年6月份观测到的一种相对较新的勒索软件,其代码是基于开源的‘勒索软件PoC’——‘HiddenTear’。 

scarab-ransomware-campaign.png

【Necurs僵尸网络已经发送了数千万个包含“Scarab”勒索软件的垃圾邮件】

 

Scarab_volume_graph.png

【“Scarab”垃圾邮件活动量时间分布】

大量的“Scarab”勒索软件活动从ID-Ransomware提供的数据中也是显而易见的,该服务能够帮助受害者识别出所感染的勒索软件的类型,可以具体到该家族的何种分支以及何种变种版本。下图显示了每天“Scarab”勒索软件的提交数量:

 Scarab-ransomware-IDR-submissions.jpg

研究人员进行深入分析后发现,用于传播Scarab的垃圾邮件会伪装成带有扫描图像的文件,与此同时,电子邮件会选择一些最受欢迎的主题来诱使受害者点击文件,这些主题包括:

扫描自Lexmark;
扫描自HP;
扫描自Canon;
扫描自Epson;

这些电子邮件带有一个包含Visual Basic脚本的7Zip存档,用于充当“Scarab”勒索软件的一个dropper。

Scarab勒索软件演变过程

安全专家Michael Gillespie于今年6月份第一次发现Scarab勒索软件,其代码是基于开源的‘勒索软件PoC’——‘HiddenTear’勒索软件构建工具包,会将扩展名“.scarab”附加到被加密文件的文件名中。

之后,7月份,网络安全公司Malwarebytes的研究人员Marcelo Rivera又发现了第二个版本,其使用的是“.scorpio”的扩展名。

到了此次发现的Scarab勒索软件新变体,其开始采用“.[[email protected]] .scarab”扩展名附加被加密文件的文件名中。

研究人员警告称,“Scarab”勒索软件能够删除文件的卷影副本,使文件恢复变得不可能。此外,该恶意软件还会在受害者的设备上显示一个名为“IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT”(如果你想解锁所有的文件,请阅读该TXT文件)的赎金通知。

该赎金通知中并没有写明赎金的具体金额,但要求受害者尽快通过电子邮件或比特信(Bitmessage)联系Scarab勒索软件的开发者,越早联系的话,赎金金额就会越小。

源链接

Hacking more

...