باج افزار Scarab برای اولین بار در ماه ژوئن شناسایی شده است و در حال حاضر به میلیون ها نفر از کاربران از طریق بات نت Necurs، بزرگترین بات نت ارسال کننده اسپم ایمیل ارسال شده است.گزارشات این باج افزار از F-Secure، Forcepoint، MalwareHunter و MyOnlineSecurity اعلام شده است.
اسکاراب، یک ویروس ransomware است که به صورت پنهانی در سیستم ها نفوذ کرده و داده های مختلف را رمزگذاری می کند. در روند رمزگذاری، اسکاراب با افزونه ای در انتهای نام فایل ها “resque@plague.desi] .scarab].” را اضافه می کند. به عنوان مثال، “sample.jpg” به “sample.jpg. [resque@plague.desi] .scarab” تغییر نام داده شده است. نسخه های به روز شده از این ransomware افزودن “Help-Mail@Ya.Ru]. Skorpio]” یا [.support@protonmail.com.scarab extensions] به فایل های رمز شده را نشان می دهد. پس از رمزگذاری موفقیت آمیز، ویروس یک فایل متنی را ایجاد و به طور خودکار باز می کند (“اگر میخواهید تمام فایل های خود را بردارید، لطفا این.TXT را بخوانید”)، و سپس آن را روی دسکتاپ قرار دهید.
فایل متنی حاوی یک پیام است که به قربانیان رمزگذاری را اطلاع می دهد و درخواست جبران خسارت می کند. در حال حاضر مشخص نمیباشد که آیا اسکاراب از رمزنگاری متقارن یا نامتقارن استفاده می کند، با این حال، در هر صورت، رمزگشایی بدون یک کلید منحصر به فرد غیرممکن است. مجرمان سایبر فروشگاه کلید های رمزگشایی را در یک سرور از راه دور ذخیره میکنند و قربانیان تشویق می شوند که برای دریافت آن هزینه ها را پرداخت کنند. هزینه تایید نشده است – این پیام نشان می دهد که این بستگی به این دارد که چگونه قربانیان سریع با جنایتکاران سایبری ارتباط برقرار می کنند (که معمولا تقاضای معادل 500 تا 1500 دلار در بیت کوین) می باشد. مجرمان سایبری هرگز نباید مورد اعتماد قرار گیرند تحقیقات نشان می دهد که این افراد اغلب قربانیان را نادیده می گیرند و پس از پرداخت پول نیز فایل ها برنمی گردند. علاوه بر این، شما با پرداخت پول از کسب و کارهای بدخواهانه جنایتکاران سایبری حمایت خواهید کرد. بنابراین، هرگز با این افراد تماس نگیرید و یا هرگونه جبران خسارت را پرداخت نکنید. متاسفانه، هیچ ابزاری قادر به بازگرداندن فایل های رمزگذاری شده توسط Scarab وجود ندارد. بنابراین، تنها راه بازگرداندن فایل ها / سیستم از یک نسخه پشتیبان است.
در تصویر زیر پیامی که جهت تشویق کاربر برای پرداخت هزینه در قبال برگشت اطلاعات دریافت نموده است را مشاهده می کنید.
اسکاراب دارای ویژگی های بسیار مشابهی به ElmersGlue، EncrypTile، GlobeImposter، TheDarkEncryptor و ده ها ویروس دیگر از نوع ransomware است. توجه داشته باشید که همه رفتار یکسانی دارند – آنها فایل ها را رمزگذاری می کنند و درخواست پرداخت هزینه برای برگشت فایل را می کنند. تنها اختلاف عمده بین ویروس های ransomware نوعی از اندازه و نحوه استفاده از الگوریتم رمزنگاری است.
Necurs تحت فشار ده ها میلیون ایمیل های اسپم حاوی باج افزار Scarab
در نمودار زیر حجم ایمیل های اسپم حاوی این باج افزار در طی چند ساعت متوالی قابل مشاهده است. همانطور که مشاهده می کنید باسرعت بالایی این ایمیل ها در حال افزایش می باشند.
Scarab چهارمین عنصر ransomware Necurs در سال جاری، پس از Locky، Jaff و GlobeImposter است. این بوت نت همچنین تروجان بانکی “Dridex” ، تروجان بانکی Trickbot را به فروش رسانده است.
برخی از موضوعات ایمیل های ارسال شده بصورت زیر بوده است:
Scanned from Canon
Scanned from Epson
Scanned from Lexmark
Scanned from HP
در این ایمیل ها فایل 7zip پیوست شده که درون آن یک فایل vbs می باشد و این فایل vbs باج افزار scarab را دانلود نموده و اجرا میکند.
توصیه امنیتی:
جهت مصون ماندن از این نوع ویروس ها به شما توصیه می کنیم از باز نمودن ایمیل های ناشناس حتما خودداری نمائید.
همچنین حتما از یک آنتی ویروس استفاده نموده و بروزرسانی آن را انجام دهید تا از ویروس های جدید در امان بمانید، ما به شما استفاده از آنتی ویروس f-secure را توصیه می کنیم.
در صورتی که نیاز به مشاوره بیشتر در این زمینه داشتید با بخش پشتیبانی ایران سرور تماس حاصل نمایید.
05131776-902
همینطور برای انتخاب بهترین آنتی ویروس جهت مصون ماندن از چنین ویروس هایی می توانید با بخش فروش ایران سرور تماس حاصل کنید.
05131776-901
برگرفته از [bleepingcomputer.com]