Necurs wysyła spam zainfekowany ransomware'm Scarab

Necurs wysyła ponad 10 milionów wiadomości spamowych zainfekowanych ransomware'm Scarab

Według najnowszych danych niesławny botnet Necurs jest wciąż aktywny. Tym razem, sieć ta jest wykorzystywana do rozpowszechniania ransomware'a Scaram. Wierzy się, że Necurs do tej pory rozesłał ponad 12 milionów wiadomości wypełnionych zainfekowanymi załącznikami.

Głównymi celami ataku są:

• Stany Zjednoczone;
• Australia;
• Wielka Brytania;
• Francja;
• Niemcy.

Jednakże nawet jeśli nie żyjesz w tych krajach musisz być niezwykle ostrożny wobec każdej wiadomości wysłanej przez nieznanego nadawcę. W przeciwnym wypadku możesz pobrać wirusa, który zaszyfruje Twoje pliki i zażąda okupu w zamian za klucz deszyfrujący.

Temat wiadomości, wykorzystywany do nakłonienia nieświadomych użytkowników do pobrania zainfekowanego załącznika jest napisany w sposób biznesowy. Nazwa załącznika mówi: „Zeskanowano z [nazwa producenta drukarki]” i może zawierać takie nazwy, jak Cnon, Epson lub HP. Uważaj jednak – nazwa załącznika, temat wiadomości i podobne informacje mogą zostać zmienione przez hakerów w najbliższej przyszłości.

Nie jest to pierwszy raz, gdy Necurs rozpowszechnia ransomware

Gdy został odkryty w 2012 roku, Necurs był używany do rozpowszechniania trojana bankowego Dridex. Dokonał on wtedy około 83 tysiące infekcji. Kilka kat później jednak sieć wróciła z masywnym spamem promującym niesławnego ransomware'a Locky poprzez miliony wiadomości.

W ostatnim roku botnet ten został też zauważony przy rozpowszechnianiu wirusów ransomware Jaff i GlobeImposter – nie dziwi więc, że dziś jest on wykorzystywany do promocji Scaraba. Wierzy się, że siec ta składa się z 5-6 milionów botów, przez co istnieje duże ryzyko, że ich najnowsza kampania spowoduje spore straty firmom oraz użytkownikom komputerów.

Ramsomware Scarab. Główne fakty

Ramsomware Scarab to średni kryptowirus, którego ciężko przyrównać do Locky'ego. Może on jednak zaszyfrować pliki ofiary i wyłudzić od niej pieniądze w formie okupu. Interesującym faktem przed żądaniem okupu jest opcja rozszyfrowania trzech plików, by udowodnić, że możliwość dekryptyzacji jest dostępna.

Po zrujnowaniu plików, dodawane są do nich rozszerzenia „.scarab” i „.scorpio”. Instrukcje powiązane z dekrypcją tych plików są napisane w pliku „IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” zapisanym w każdym folderze zaatakowanym przez wirusa.

Obecnie kwota okupu żądana przez ransomware wciąż się waha. Nawet jeśli zostaniesz poproszony o małą kwotę, nie bądź naiwny i nie wysyłaj pieniędzy hakerom. 

Ochrona przed atakiem

Jak już wspomnieliśmy, musisz być niezwykle ostrożny wobec spamu napisanego biznesowym językiem. Może on przedstawiać się jako faktury, rachunki, raporty, wiadomości głosowe lub polecenia zapłaty.

Jeśli nie znasz nadawcy bądź jeśli wiadomość wygląda na podejrzaną, nie powinieneś nawet jej otwierać. Jeśli wciąż masz wrażenie, że ktoś chce Tobie wysłać coś ważnego, skontaktuj się z nadawcą, by zdobyć więcej informacji na temat załącznika. 

Na koniec, nie zapominaj o kopiach zapasowych i oprogramowaniu antywirusowym. Korzystanie z kopii zapasowych ważnych danych jest głównym sposobem na uniknięcie płacenia okupu ponieważ możesz odzyskać pliki z ich pomocą. W międzyczasie, aktualny antywirus zapobiegnie infiltracji ransomware'ów.