Forcepoint ha messo in luce l’ennesimo ransomware dopo Locky, Jaff e GlobeImposter chiamato Scarab , inviato dalla botnet Necurs, responsabile per alcune delle più grandi campagne di spam con 5-6 milioni di host infettati al mese.
In sei ore, nel giorno del ringraziamento americano, Necurs aveva già inviato 12,5 milioni di email contenenti una versione modificata di Scarab. Dall’immagine seguente, che riguarda il sito ID-Ransomware – che consente di identificare il tipo di ransomware che ha infettato il proprio sistema – è possibile notare il picco di rilevamenti di Scarab.
Le email contenenti Scarab seguono un pattern già utilizzato in passato dallo spam di Necurs , l’oggetto della mail dà l’illusione che l’allegato sia una scansione di un documento, ad esempio:
- Scanned from Lexmark
- Scanned from HP
- Scanned from Canon
- Scanned from Epson
Ma l’allegato è in realtà un archivio 7-Zip contenente uno script Visual Basic che scarica ed esegue il ransomware .
Lo script contiene gli stessi riferimenti a Game of Thrones visti nella campagna ransomware di Locky tra cui ad esempio variabili come: Aria, SansaStark, RobertBaration, JohnSnow, o HoldTheDoor.
Scarab, scoperto a giugno da Michael Gillespie, è basato sul proof-of-concept HiddenTear, scritto in Delphi e riconoscibile tramite l’estensione “.scarab” mentre la seconda versione di Luglio usava l’estensione “.scorpio”.
La versione attuale diffusa da Necurs utilizza di nuovo l’estensione “.scarab” criptando i file senza cambiarne il nome originale, ma facendo un append ad ogni nome di file con l’estensione “.[suupport@protonmail.com].scarab”
Quando eseguito Scarab disabilita le funzionalità di ripristino di Windows:
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
Dopo aver terminato di cifrare i dati si autoelimina e apre un file denominato “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT”.
La richiesta di riscatto non menziona una somma da pagare per riavere i propri file leggibili, ma dice agli utenti che più velocemente contatteranno gli autori di Scarab via email (o BitMessage) più piccola sarà la somma del riscatto.
L’uso del pagamento tramite email lo abbiamo già visto in molte campagne malware tra cui NotPetya, e al momento della scrittura dell’articolo non esiste un metodo per il recupero dei file crittografati da questo ransomware.
Ilaria Di Maro
-
LOL
1. 40% della memoria dichiarata in meno.. Complimenti!2. "Devi recarti direttamente presso la cancelleria del Tribunale di Milano allinterno del Palazzo di Giustizia di Milano"Comodo! Etype, già che devi andare, ce lo organizzi tu un bel servizio navetta?Re: LOL
Speriamo che questa azione vada in porto: l'istituto della Class Action in Italia è monco e avrebbe bisogno di sponsorizzazioni come questa.Forza Samusung... paga![par condicio ON][...]Ricordiamo che nel 2016 Altroconsumo aveva evidenziato una pratica scorretta simile a Samsung anche da parte di Apple. I suoi iPhone e iPad avrebbero sofferto di "memoria corta" proprio come per i dispositivi del competitor coreano.[...][par condicio OFF]Re: LOL
- Scritto da: Fan innamorato di Bertuccia il macacoper tutti quelli che dopo l'ultima figura di m..a (cfr.: http://punto-informatico.it/b.aspx?i=4414596&m=4414667#p4414667) hanno pensato: <i> "toh, ce lo siamo levati dai c...ni" </i> : mi spiace, non fatevi illusioni, prima o poi torna sempre (rotfl) ma a noi piace così> Speriamo che questa azione vada in porto:> l'istituto della Class Action in Italia è monco e> avrebbe bisogno di sponsorizzazioni come> questa.> > Forza Samusung... paga!ho sentito che i camion con le monetine da 1 cent sono già in viaggio (rotfl)> > [par condicio ON]> [...]Ricordiamo che nel 2016 Altroconsumo aveva> evidenziato una pratica scorretta simile a> Samsung anche da parte di Apple. I suoi iPhone e> iPad avrebbero sofferto di "memoria corta"> proprio come per i dispositivi del competitor> coreano.[...]> [par condicio OFF]sì, 3GB di OS e App su 16GB sono tanti, ma è comunque il 20%, diciamo al limite del ragionevole.. Ben diverso dal 40% di Samsung!Re: LOL
Sicuro "fan innamorato" sia cagarissimevolmente? (newbie) A me non sembra lui, l'altro posta faccine a tutto spiano, lo stile pare diverso.Re: LOL
Ah! Povera mamma di Bertuccia!Che croce che deve portare povera donna...Dovete sapere che la mamma aveva un Samsung Next e a lei andava anche bene, per le due cose che ci faceva. Ma no! Il figlio ha fatto al volo un nuovo finanziamento e gli ha sottratto l'adorato telefonino per rifilargli un ifone nuovo di zecca e, soprattutto, costoso!Re: LOL
- Scritto da: bertuccia> - Scritto da: Fan innamorato di Bertuccia il> macaco> > per tutti quelli che dopo l'ultima figura di m..a> (cfr.:> > http://punto-informatico.it/b.aspx?i=4414596&m=441> > hanno pensato: "toh, ce lo siamo levati dai c...ni" :> mi spiace, non fatevi illusioni, prima o poi torna> sempre Rotola dal ridere ma a noi piace cosìToh, anche Bertuccia ha la sindrome del Fuddaro. Solo che invece dei tre punti, vede giaguacosi. Mi sa che il trepuntinato ha ragione. A proposito di tizi senza vergogna, che fanno figure di m...a e non si "levano dai c...ni", che ci fai ancora qui? Tra l'altro la sua fa ridere in confronto alle tue. Quindi volevi anche farci sapere che la tua faccia è indistinguibile dalle tue chiappe? Che carino, ma non ne avevamo alcun dubbio. Grazie comunque. :)Re: LOL
[...] sì, 3GB di OS e App su 16GB sono tanti, ma è comunque il 20%, diciamo al limite del ragionevole.. Ben diverso dal 40% di Samsung! [...]Bertuccia, che gusto c'è ad essere scemi?Io sarò scemo a risponderti (è vero, lo ammetto) ma tu sei un fuoriclasse! Non sarò mai alla tua altezza.Tu non sei uno scemo di tipo base. Sei proprio uno scemo con l'Aifone! L'eccellenza tra gli scemi!Aifone, non iPhone. E' diverso.Sei così scemo che ad una gara di scemi arriveresti secondo, perché sei cosi scemo da farti XXXXXXX il primo posto!Re: LOL
- Scritto da: bertuccia> 1. 40% della memoria dichiarata in meno..> Complimenti!Dichiarata in meno come?Dicevano 8 GB ma fisicamente erano 6GB o 4GB ?Se si fanno bene a fare causa ma tanto sarà inutile, se invece la capacità fisica era quella ma il consumatore crede che l'OS sia installata su una memoria a parte.... quindi di 16GB l'utente crede che siano 16GB pieni solo per i suoi dati è un'altra questione su cui rientrano un'infinità di altri device e di cui nessuno si è mai lamentato, capacità HDD non reale, RAM condivisa con la VGA,ecc> 2. "Devi recarti direttamente presso la> cancelleria del Tribunale di Milano allinterno> del Palazzo di Giustizia di> Milano"> > Comodo! Etype, già che devi andare, ce lo> organizzi tu un bel servizio> navetta?Io non devo andare da nessuna parte, se non si capisce che la capacità pubblicata è riferita a quella hardware totale e che in quella è presente anche l'OS e applicazioni... non è un problema mio ;)Re: LOL
- Scritto da: FType> - Scritto da: bertuccia> > 1. 40% della memoria dichiarata in meno..> > Complimenti!> > Dichiarata in meno come?> > Dicevano 8 GB ma fisicamente erano 6GB o 4GB ?> > Se si fanno bene a fare causa ma tanto sarà> inutileE invece pensa: <i> "il Tribunale di Milano aveva confermato l'ammissibilità della class action contro Samsung" </i> Non sappiamo nemmeno più leggere l'italiano? Non c'è più niente da fare adesso se non PAGAREVuoi proporti tu come avvocato di Samsung? Ti ci vedo, il problema sarebbe solo riuscire a capire dove finisce il loro c..lo e dove inizia la tua faccia > Io non devo andare da nessuna parte, se non si> capisce che la capacità pubblicata è riferita a> quella hardware totale e che in quella è presente> anche l'OS e applicazioni... non è un problema> mioCerto, trovarsi il 40% della memoria già occupata out of the box è normalissimo.. in effetti si tratta di Samsung, uno dovrebbe immaginarseloRe: LOL
- Scritto da: bertuccia> E invece pensa: <i> "il Tribunale di> Milano aveva confermato l'ammissibilità della> class action contro Samsung" </i>> > > Non sappiamo nemmeno più leggere l'italiano? Non> c'è più niente da fare adesso se non> PAGARESai quanto conta il tribunale di Milano per una multinazionale ? (rotfl)> Vuoi proporti tu come avvocato di Samsung? Ti ci> vedo, il problema sarebbe solo riuscire a capire> dove finisce il loro c..lo e dove inizia la tua> facciaNon ne ha bisogno, rinvio al mittente l'espressione colorita ;)> Certo, trovarsi il 40% della memoria già occupata> out of the box è normalissimo.. in effetti si> tratta di Samsung, uno dovrebbe> immaginarseloGuarda che tecnicamente sta nel giusto Samsung, diverso se invece scrivono che mettono una memoria da 8GB e poi fisicamente è di 6GBGià che ci sono facessero anche causa ai produttori di HDD che usano i GB decimali anzichè quelli informatici corripondenti a 1024MB, per cui alla fine non hai la capacità espressa sulla confezione, quello è normale suppongo.Che dire poi di quei sistemi che pubblicizzano 8GB di RAM ma poi una parte è condivisa dalla VGA ?Le regole o valgono per tutti o per nessuno.piu' facile a dirsi che a farsi
Quanti che hanno comprato questi telefoni hanno ancora lo scontrino?Re: piu' facile a dirsi che a farsi
Forse qualcuno del 2013 o 2014... ma forse eh, e comunque si arriverà magari a 1 su 10, a dir tanto. Figuriamoci se c'è gente che s'è conservata lo scontrino dal 2009 o 2010.Re: piu' facile a dirsi che a farsi
- Scritto da: ...> Forse qualcuno del 2013 o 2014... ma forse eh, e> comunque si arriverà magari a 1 su 10, a dir> tanto. Figuriamoci se c'è gente che s'è> conservata lo scontrino dal 2009 o> 2010.cmq se c'e' qualcuno a milano che domattina non ha niente da fare ... poteva cercare degli scontrini tra amici e parenti.... un modo diverso per passare la giornata :P :PGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 27 nov 2017Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 27 nov 2017Link copiato negli appunti
