Nuovo attacco virus ransomware Scarab

attacco virus scarab

Scarab è il nuovo pericolo ransomware diffuso da una botnet illegale molto diffusa denominata Necurs.
Questo devastante ransomware Scarab viene inviato tramite spam per email, attualmente sono decine di milioni le email di spam inviate per “inoculare” il malware. Ecco come agisce e le modalità per difendersi…

Alcune società di sicurezza informatica hanno emesso dei bollettini di allarme su l’invio automatico di enormi numeri di email spam contenenti l‘attacco virus ransomware Scarab. Le email vengono inviate da server e Pc infetti e predisposti per l’invio inconsapevole di questo virus in tutto il Mondo.

Nel giorno del ringraziamento americano, in sole 6 ore, la botnet criminale Necurs ha inviato oltre 12 milioni di email contenenti una versione aggiornata di Scarab. Attualmente occorre precisare che l’utente che riceve lo spam deve comportarsi con una certa ingenuità cercando di aprire l’allegato contenuto nell’email. Non ci si infetta aprendo semplicemente l’email.

Leggi anche: come prevenire attacco ransomware in azienda

Le email contenenti il ransomware Scarab effettuano lo stesso tentativo per ingannare chi le riceve. L’oggetto della mail informa che l’allegato contenuto è una banale scansione di un documento, ad esempio:

Scanned from Canon

Scanned from Epson

Scanned from Lexmark

Scanned from HP

In realtà, purtroppo, l’allegato contiene invece un archivio 7-Zip contenente uno script Visual Basic che lo scarica ed esegue scatenando l’attacco virus ransomware Scarab.

La versione attuale diffusa utilizza l’estensione “.scarab” criptando i file senza cambiarne il nome originale, ma aggiungendo ad ogni nome di file con l’estensione “.[suupport@protonmail.com].scarab”

Oltre a crittografare rendendo bloccati quasi tutti i file dati, foto, immagini e documenti, Scarab disabilita anche le funzionalità di ripristino di Windows:

cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Una volta cifrati tutti dati sul Pc/Windows si auto-elimina e apre un file denominato “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT”.

Leggi anche: Windows 10 blocca i virus ransomware

Questa volta la richiesta di riscatto non richiede una cifra precisa per riottenere i propri file leggibili, ma informa i malcapitati che se contatteranno velocemente gli autori di Scarab via email (o BitMessage) la somma del riscatto in Bitcoin sarà più piccola.

Attenzione anche alle pagine con il falso aggiornamento Java.

Nel video seguente potete vedere l’esecuzione del virus Scarab, notate nella finestra di destra come vengono modificati i file.

Bloccati i file potrete riaverli solo pagando i criminali, fate molta attenzione perché attualmente non esiste un tool di recupero dei file crittografati per questo ransomware. L’unica possibilità è quella di avere pronto un backup aggiornato (rigorosamente “staccato” dal Pc e dalla rete aziendale).

Leggi anche: attenzione alle finte email di Equitalia

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.