یک گروه نشات گرفته از بزرگترین شبکه بات نت دنیا تحت عنوان Necurs ، گونه جدیدی از باج افزارScarab را بیش از یک میلیون بار در هر ساعت توسط ایمیل در سرتاسر اینترنت منتشر می کند. این گروه قبل از این نیز تروجان های بانکی Dridex و Trickbot و باج افزارهای Locky و Jaff را منتشر کرده بود.
طبق گزارش F-Secure، شبکه بات نتی Necurs یکی بزرگترین ارسال کننده های هرزنامه است که ماهانه بین 5 تا 6 میلیون سیستم را آلوده می کند. بر اساس گزارش Forcepoint ، این شبکه بات نتی در روز 23 نوامبر در ظرف مدت 6 ساعت حدود 12.5 میلیون ایمیل منتشر نموده است. قسمت عمده ترافیک مذکور از طریق بالاترین سطح دامنه (TLD) یعنی .com ارسال می شود و بقیه آن نیز از طریق TLDهای منطقه ای انگلستان، فرانسه، استرالیا و آلمان صورت گرفته است.
هرزنامه مذکور حاوی یک بارگذار فایل VBScript آلوده فشرده شده به صورت 7Zip است که پیلود نهایی را در قالب یکی از عناوین زیر ارسال می کند.
- Scanned from Epson
- Scanned from HP
- Scanned from Canon
پیلود نهایی آخرین نسخه از باج افزارScarab بدون هیچ تغییری در اسامی فایل است که یک پسوند جدید به صورت .[suupport@protonmail.com].scarab به انتهای آن می افزاید. در انتها باج افزارScarab برای اثبات ادعای خود در خصوص رمزگشایی درست فایل های قربانی، اقدام به رمزگشایی 3 فایل دلخواه، بدون اخذ مبلغ باج می کند.
برای پیشگیری از مبتلا شدن به باج افزار، همواره مراقب دریافت فایل ها از طریق پیوست ایمیل باشید و بر روی لینک های ارسال شده از طریق ایمیل که از منابع نامشخص ارسال شده اند، به هیچ عنوان کلیک نکنید و از همه مهمتر اینکه همواره یک نسخه پشتیبان از اطلاعات و فایل های مهم بر روی یک رسانه ذخیره ساز جانبی که فقط در زمان تهیه پشتیبان به سیستم متصل می کنید، تهیه نمایید. در آخر نیز از یک نسخه ضدبدافزار به روز و قابل اطمینان استفاده کنید.
- منبع:
https://thehackernews.com/2017/11/necrus-scarab-ransomware.html