Як повідомляє Департамент кіберполіції, його розповсюдження здійснювалося за допомогою найбільшої спам-ботнет мережі Necurs.
Читайте також: Хакерська атака в Україні: як вберегтися від вірусів
Активність Scarab Ransomware в Україні
Фахівці з кібербезпеки встановили, що з використанням Necurs було відправлено понад 12,5 мільйонів електронних листів, в яких містилися файли з новою версією Scarab Ransomware. Електронні листи, в яких містився Scarab, було замасковано під архіви з відсканованими зображеннями. Користувачі електронної пошти, отримуючи повідомлення, бачили, що до нього начебто було прикріплено файли із зображеннями відсканованих документів. Наприклад: "Відскановано від Lexmark", "Відскановано від HP", "Відскановано від Canon", "Відскановано від Epson",
– підкреслюють правоохоронці.
За їхніми словами, ці листи містили всередині архів 7Zip, із заархівованим Visual Basic-скриптом – після його спрацювання на комп’ютер користувача завантажується та запускається EXE-файл - вірус Scarab Ransomware.
"Після успішного шифрування вірус створює та автоматично відкриває текстовий файл ("ЯКЩО ВИ ХОЧЕТЕ ОТРИМАТИ ВСІ ВАШІ ФАЙЛИ НАЗАД, БУДЬ ЛАСКА, ПРОЧИТАЙТЕ ЙОГО.TXT"), а потім розміщує його на робочому столі. Сума викупу у повідомленні не вказується. Проте зловмисники звертають увагу жертви на тому, що сума викупу буде збільшуватися з часом, допоки потерпілий не зв’яжеться з авторами Scarab електронною поштою або BitMessage", – додають у кіберполіції.
Вміст листів, за допомогою яких поширювався Scarab
Водночас правоохоронці зауважили, що до Департаменту кіберполіції поки ще не надходили звернення та заяви щодо ураження цим вірусом.
Довідка:
Scarab – це вірус, який шифрує різні користувацькі дані. Під час шифрування Scarab додає імена файлів за допомогою розширення "[Suupport @mail.ru] .scarab". Наприклад, "sample.jpg" перейменовано в "sample.jpg. [Suupport@mail.ru] .scarab". Оновлені варіанти Scarab доповнюють шифрування файлів [Suupport@protonmail.com] .scarab розширенням. Інші варіанти додають розширення [unlocking.guarantee@aol.com] до зашифрованих файлів. Сьогоднішня версія Scarab додає до імені кожного файлу розширення: ". [Suupport@protonmail.com] .scarab".
Нагадаємо, 24 жовтня Україну охопила нова хвиля кібератак. Зокрема, хакери нападали на сайти Міністерства інфраструктури, Міжнародного аеропорту Одеси та на Київський метрополітен. Згодом з’ясувалося, що все це здійснюється за допомогою нового віруса-шифрувальника Bad Rabbit, який вимагає викуп у біткойнах.