بازگشت بات‌نت Necurs با باج‌افزار جدید Scarab

 

بات نت Necurs یکی از بزرگ ترین بات نت های جهان در حوزه ی هرزنامه است که به تازگی نسخه ای جدید از باج افزار Scarab را توزیع می کند. این پویش باج افزاری از ساعت ۷:۳۰ صبح روز شکرگزاری آغاز شده و محققان اعلام کردند تا ساعت ۱۳:۳۰ نزدیک به ۱۲٫۵ میلیون ایمیل از طرف این بات نت را مسدود کردهه اند.  گفته می شود این توزیع با فایل های فشرده ی ۷zip که دانلودکننده ی اسکریپت های .vbs هستند آغاز می شود. بخش عظیمی از ترافیک این بات نت به سمت دامنه های سطح بالای .com ارسال می شود و بیشتر این دامنه ها متعلق به انگلیس، استرالیا، فرانسه و آلمان هستند.


بات‌نت Necurs به توزیع باج‌افزارهایی همچون Necurs و Locky بسیار مشهور شده است و امسال نیز شاهد بودیم که باج‌افزار دیگری با نام Jaff را توزیع می‌کرد. باج‌افزار Scarab نیز جدیدترین گونه‌ی باج‌افزاری است که در حال حاضر به توزیع آن می‌پردازد. 


باج‌افزار Scarab اولین بار در ماه ژوئن سال ۲۰۱۷ میلادی مورد بررسی گرفت و محققان معتقدند کد این باج‌افزار، مبتنی بر ابزار متن‌باز برای اثبات مفهومی باج‌افزارها با نام HiddenTear می‌باشد. بات‌نت Necurs چیزی که بر روی سیستم‌های قربانی توزیع می‌کند، یک فایل فشرده‌ی ۷zip است که دانلودکننده‌ی اسکریپت‌های ویژوال بیسیک است. در نمونه‌های قبلی این پویش، این اسکریپت‌ها حاوی ارجاعاتی به سریال «بازی تاج و تخت» بودند. در آخرین نمونه نیز بار داده، باج‌افزار Scarab است. 


در ایمیلی که توسط بات‌نت Necurs ارسال می‌شود، کمترین محتوا در بدنه‌ی پیام گنجانده شده و عنوان آن نیز بیشتر تجاری است. در این پویش ادعا می‌شود فایل‌هایی که به ایمیل ضمیمه شده‌اند، اسکن‌شده‌ی یک سری اسناد هستند. دامنه‌هایی که در این پویش‌ مورد استفاده قرار می‌گیرد، وب‌سایت‌های آلوده‌ای هستند که در پویش‌های قبلی این بات‌نت نیز استفاده می‌شدند. 


اگر دانلودکننده، اجرا شده و باج‌افزار Scarab نصب شود، این باج‌افزار فایل‌های قربانی را رمزنگاری کرده و پسوند suupport@protonmail.com].scarab] را به انتهای تمامی فایل‌های رمزنگاری‌شده اضافه می‌کند. بخش ایمیل که در این پسوند مشاهده می‌شود، همان آدرس ایمیلی است که برای ارتباط با مهاجمان در پیغام باج‌خواهی ارائه شده است. 


پیغام باج‌خواهی در فایلی با نام IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT در تمامی پوشه‌هایی که تحت تاثیر قرار گرفته‌اند و فایل‌های آن‌ها رمزنگاری شده، قرار داده می‌شود. در این پیغام، مقدار باجِ درخواستی مشخص نشده و اعلام شده این مقدار به سرعت قربانی در پاسخ دادن به مهاجمان بستگی دارد. مهاجمان همچنین به قربانی پیشنهاد می‌دهند که می‌توانند ۳ فایل را به‌طور رایگان رمزگشایی کنند تا کاربر اطمینان پیدا کند که فرآیند رمزگشایی به درستی کار می‌کند.
 

منبع

پست‌های مشابه

Leave a Comment