В ноябре прошлого года мы сообщали о том, что самая крупная в мире спам-ботсеть Necurs, состоящая из 6000000 инфицированных устройств, начала распространение спам-сообщений, содержащих вымогательскую программу Scarab.
Теперь специалисты Malwarebytes рассказали о новом варианте этой программы – Scarabey. Код новой версии почти полностью совпадает с исходным кодом Scarab, но хакеры поменяли способ распространения вредоносной программы и теперь атакуют абсолютно иные цели.
Программа Scarab была написана на Visual C, а Scarabey – на Delphi. Также новая версия требует у жертв выкуп не на английском, а на русском языке. Как утверждают в Malwarebytes, Scarabey действует, прежде всего, против пользователей из России. Также эксперты подчеркивают, что для двух шифровальщиков применялся идентичный текст, а английская версия сообщения была переведена с русского языка с помощью Google Translate.
Операторы Scarabey теперь не используют Necurs для распространения шифровальщика, а ведут поиск плохо защищенных RDP-соединений (RDP – Remote Desktop Protocol, протокол удаленного рабочего стола) и в ручном режим осуществляют установку вымогательской программу на каждую систему.
По словам исследователей, в сети можно отыскать информацию о том, что после проникновения в систему Scarabey не только занимается шифрованием файлов, но и дает хакерам доступ к инфицированному устройству и крадет конфиденциальные данные. После анализа кода Scarabey исследователи из Malwarebytes сделали вывод, что такого функционала в программе нет.
Также Scarabey угрожает каждый день удалять по 24 файла, если жертва не выплатит выкуп. Через трое суток операторы Scarabey угрожают уничтожить всю информацию, заявляя при этом, что у них есть копии всех зашифрованных данных. В действительности, это ложь, поскольку шифровальщик не может удалить файлы пользователя, а операторы программы не копируют зашифрованные данные.
Эксперты утверждают, что Scarabey предназначен именно для атак на компании и предприятия, поскольку вряд ли хакеры стали бы вручную взламывать уязвимые системы рядовых пользователей посредством RDP.
