بات نت Necurs یکی از بزرگ ترین بات نت های جهان در حوزه ی هرزنامه است که به تازگی نسخه ای جدید از باج افزار Scarab را توزیع می کند. این پویش باج افزاری از ساعت ۷:۳۰ صبح روز شکرگزاری آغاز شده و محققان اعلام کردند تا ساعت ۱۳:۳۰ نزدیک به ۱۲٫۵ میلیون ایمیل از طرف این بات نت را مسدود کردهه اند. گفته می شود این توزیع با فایل های فشرده ی ۷zip که دانلودکننده ی اسکریپت های .vbs هستند آغاز می شود. بخش عظیمی از ترافیک این بات نت به سمت دامنه های سطح بالای .com ارسال می شود و بیشتر این دامنه ها متعلق به انگلیس، استرالیا، فرانسه و آلمان هستند.
باتنت Necurs به توزیع باجافزارهایی همچون Necurs و Locky بسیار مشهور شده است و امسال نیز شاهد بودیم که باجافزار دیگری با نام Jaff را توزیع میکرد. باجافزار Scarab نیز جدیدترین گونهی باجافزاری است که در حال حاضر به توزیع آن میپردازد.
باجافزار Scarab اولین بار در ماه ژوئن سال ۲۰۱۷ میلادی مورد بررسی گرفت و محققان معتقدند کد این باجافزار، مبتنی بر ابزار متنباز برای اثبات مفهومی باجافزارها با نام HiddenTear میباشد. باتنت Necurs چیزی که بر روی سیستمهای قربانی توزیع میکند، یک فایل فشردهی ۷zip است که دانلودکنندهی اسکریپتهای ویژوال بیسیک است. در نمونههای قبلی این پویش، این اسکریپتها حاوی ارجاعاتی به سریال «بازی تاج و تخت» بودند. در آخرین نمونه نیز بار داده، باجافزار Scarab است.
در ایمیلی که توسط باتنت Necurs ارسال میشود، کمترین محتوا در بدنهی پیام گنجانده شده و عنوان آن نیز بیشتر تجاری است. در این پویش ادعا میشود فایلهایی که به ایمیل ضمیمه شدهاند، اسکنشدهی یک سری اسناد هستند. دامنههایی که در این پویش مورد استفاده قرار میگیرد، وبسایتهای آلودهای هستند که در پویشهای قبلی این باتنت نیز استفاده میشدند.
اگر دانلودکننده، اجرا شده و باجافزار Scarab نصب شود، این باجافزار فایلهای قربانی را رمزنگاری کرده و پسوند suupport@protonmail.com].scarab] را به انتهای تمامی فایلهای رمزنگاریشده اضافه میکند. بخش ایمیل که در این پسوند مشاهده میشود، همان آدرس ایمیلی است که برای ارتباط با مهاجمان در پیغام باجخواهی ارائه شده است.
پیغام باجخواهی در فایلی با نام IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT در تمامی پوشههایی که تحت تاثیر قرار گرفتهاند و فایلهای آنها رمزنگاری شده، قرار داده میشود. در این پیغام، مقدار باجِ درخواستی مشخص نشده و اعلام شده این مقدار به سرعت قربانی در پاسخ دادن به مهاجمان بستگی دارد. مهاجمان همچنین به قربانی پیشنهاد میدهند که میتوانند ۳ فایل را بهطور رایگان رمزگشایی کنند تا کاربر اطمینان پیدا کند که فرآیند رمزگشایی به درستی کار میکند.