امروز: دوشنبه، 26 آذر 1397

بزرگترین بات نت جهان Necurs، تعداد 12.5 میلیون ایمیل ارسال کرده است.
این ایمیل ها حاوی باج افزار Scarab است که می تواند رایانه شما را نابود کند.


باج افزار Scarab برای اولین بار در ماه ژوئن شناسایی شده است و در حال حاضر به میلیون ها نفر از کاربران از طریق بات نت Necurs، بزرگترین بات نت ارسال کننده اسپم ایمیل ارسال شده است.گزارشات این باج افزار  از F-Secure، Forcepoint، MalwareHunter و  MyOnlineSecurity اعلام شده است.

اسکاراب، یک ویروس ransomware است که به صورت پنهانی در سیستم ها نفوذ کرده و داده های مختلف را رمزگذاری می کند. در روند رمزگذاری، اسکاراب  با افزونه ای در انتهای نام فایل ها “resque@plague.desi] .scarab].” را اضافه می کند. به عنوان مثال، “sample.jpg” به “sample.jpg. [resque@plague.desi] .scarab” تغییر نام داده شده است. نسخه های به روز شده از این ransomware افزودن “Help-Mail@Ya.Ru]. Skorpio]” یا [.support@protonmail.com.scarab extensions] به فایل های رمز شده را نشان می دهد. پس از رمزگذاری موفقیت آمیز، ویروس یک فایل متنی را ایجاد و به طور خودکار باز می کند (“اگر میخواهید تمام فایل های خود را بردارید، لطفا این.TXT را بخوانید”)، و سپس آن را روی دسکتاپ قرار دهید.

فایل متنی حاوی یک پیام است که به قربانیان رمزگذاری را اطلاع می دهد و درخواست جبران خسارت می کند. در حال حاضر مشخص نمی‌باشد که آیا اسکاراب از رمزنگاری متقارن یا نامتقارن استفاده می کند، با این حال، در هر صورت، رمزگشایی بدون یک کلید منحصر به فرد غیرممکن است. مجرمان سایبر فروشگاه کلید های رمزگشایی را در یک سرور از راه دور ذخیره می‌کنند و قربانیان تشویق می شوند که برای دریافت آن هزینه ها را پرداخت کنند. هزینه تایید نشده است – این پیام نشان می دهد که این بستگی به این دارد که چگونه قربانیان سریع با جنایتکاران سایبری ارتباط برقرار می کنند (که معمولا تقاضای معادل ۵۰۰ تا ۱۵۰۰ دلار در بیت کوین) می باشد. مجرمان سایبری هرگز نباید مورد اعتماد قرار گیرند تحقیقات نشان می دهد که این افراد اغلب قربانیان را نادیده می گیرند و پس از پرداخت پول نیز فایل ها برنمی گردند. علاوه بر این، شما با پرداخت پول از کسب و کارهای بدخواهانه جنایتکاران سایبری حمایت خواهید کرد. بنابراین، هرگز با این افراد تماس نگیرید و یا هرگونه جبران خسارت را پرداخت نکنید. متاسفانه، هیچ ابزاری قادر به بازگرداندن فایل های رمزگذاری شده توسط Scarab وجود ندارد. بنابراین، تنها راه بازگرداندن فایل ها / سیستم از یک نسخه پشتیبان است.

در تصویر زیر پیامی که جهت تشویق کاربر برای پرداخت هزینه در قبال برگشت اطلاعات دریافت نموده است را مشاهده می کنید.


 

اسکاراب دارای ویژگی های بسیار مشابهی به ElmersGlue، EncrypTile، GlobeImposter، TheDarkEncryptor و ده ها ویروس دیگر از نوع ransomware است. توجه داشته باشید که همه رفتار یکسانی دارند – آنها فایل ها را رمزگذاری می کنند و درخواست پرداخت هزینه برای برگشت فایل را می کنند. تنها اختلاف عمده بین ویروس های ransomware نوعی از اندازه و نحوه استفاده از الگوریتم رمزنگاری است.

Necurs تحت فشار ده ها میلیون ایمیل های اسپم حاوی باج افزار Scarab

در نمودار زیر حجم ایمیل های  اسپم حاوی این باج افزار در طی چند ساعت متوالی قابل مشاهده است. همانطور که مشاهده می کنید باسرعت بالایی این ایمیل ها در حال افزایش می باشند.

 

Scarab چهارمین عنصر ransomware Necurs در سال جاری، پس از Locky، Jaff و GlobeImposter است. این بوت نت همچنین تروجان بانکی “Dridex” ، تروجان بانکی Trickbot را به فروش رسانده است.

برخی از موضوعات ایمیل های ارسال شده بصورت زیر بوده است:

Scanned from Canon

Scanned from Epson

Scanned from Lexmark

Scanned from HP

در این ایمیل ها فایل ۷zip پیوست شده که درون آن یک فایل vbs می باشد و این فایل vbs باج افزار scarab  را دانلود نموده و اجرا می‌کند.

توصیه امنیتی:

جهت مصون ماندن از این نوع ویروس ها به شما توصیه می کنیم از باز نمودن ایمیل های ناشناس حتما خودداری نمائید.

همچنین حتما از یک آنتی ویروس استفاده نموده و بروزرسانی آن را انجام دهید تا از ویروس های جدید در امان بمانید،  ما به شما استفاده از آنتی ویروس f-secure را توصیه می کنیم.



برای اطلاعات بیشتر:
http://www.dailymail.co.uk/sciencetech/article-5121105/Worlds-biggest-botnet-sent-12-5-million-emails.html