Szerző: Biztonságportál | Utolsó módosítás: 2017.11.27.
https://biztonsagportal.hu/vigyazzon-mert-felporgott-a-scarab-zsarolo-program.html
A Scarab zsaroló program milliószámra kezdett terjedni. Ha így folytatja, akkor a legpusztítóbb számítógépes károkozók közé küzdheti fel magát.
A fertőzött számítógépeket magukban foglaló botnetek közül napjainkban az egyik legnagyobb a Necurs, amely olyan károkozók terjesztésében jutott már szerephez, mint amilyen például a Locky, a Jaff és a GlobeImposter zsaroló program. Emellett rendszeresen közreműködik a Dridex nevű banki trójai szaporításában is. Most azonban egy másik ransomware-t karolt fel, amely nem más, mint a Scarab.
A Scarab első variánsa idén júniusban akadt fent a védelmi hálókon, vagyis egy viszonylag új szerzeményről van szó. Az első változata nem igazán a kifinomult technikáiról híresült el. Azonban a Delphi segítségével készült program a hónapok során egyre csak fejlődött, és úgy tűnik, mostanra megérett arra, hogy az egyik legdurvább botnet üzemeltetői erőforrásokat áldozzanak a terjesztésére. Nem is kevés erőforrásról van szó, hiszen a Forcepoint adatai szerint a múlt héten több mint 12 millió kéretlen levél segítette a ransomware terjedését.
A jelenlegi vírusterjesztési akció leginkább arról ismerhető fel, hogy a küldemények első ránézésre úgy tűnnek, mintha azok szkennelt dokumentumok lennének. E levelek tárgya lehet például:
Scanned from Lexmark
Scanned from HP
Scanned from Canon
Scanned from Epson
Az e-mailek egy tömörített (7Zip) csatolmányt tartalmaznak, amelynek kibontása után egy VBSript fájl tűnik fel. Ennek nem más a feladata, minthogy a Scarab exe fájlját elindítsa. Ha erre sor kerül, akkor rögtön megkezdődik az állományok titkosítása. A tönkretett fájlok kiterjesztését a károkozó - variánstól függően - módosíthatja, vagy érintetlenül hagyhatja. Az előbbi esetben a fájlnevek mögé .scarab vagy .scorpio kiterjesztés kerül.
A titkosítást követően a zsaroló program egy szöveges fájlt jelenít meg, amelyben közli a teendőket. E szerint a felhasználónak egy e-mailt kell írnia, majd egy válasz levélben megkapja azt az összeget, amit Bitcoin formájában el kell juttatnia a kiberbűnözőknek. A csalók egyébként felajánlják, hogy három darab fájlt ingyen helyreállítanak, bizonyítva azt, hogy a fizetés után tudnak majd segíteni az általuk kompromittált állományokat visszanyerésében. Persze a valóságban erre semmi garancia nincs, így ez esetben sem javasolt a fizetés. Ehelyett a korszerű vírusvédelem kialakítására, a biztonsági mentésekre, valamint a biztonságtudatos levelezésre kell helyezni a hangsúlyt.
