勒索软件“圣甲虫”再发新变种Scarabey 目标瞄准俄语用户

“用指尖改变世界”

勒索软件“圣甲虫(Scarab)”是在2017年6月首次被发现的。从那以后,其发布了数个变种并被发现。最流行或传播最广泛的版本是通过僵尸网络Necurs分发的,最初是采用Visual C编写的。

网络安全公司Malwarebytes却在去年12月份发现了另一个独特的新变种,他们将其标识为“Scarabey”。它与Scarab存在多个区别,这包括采用了不同的分发方式、不同的编程语言以及不同的有效载荷代码。

像大多数勒索软件一样,Scarabey的目的是在加密系统上的文件之后,向受害者勒索比特币进行赎金支付。然而,Scarabey并没有像Scarab那样通过内部的垃圾电子邮件进行分发,而是通过远程桌面协议(RDP, Remote Desktop Protocol)手动安装到目标服务器和系统上的。

与Scarab不同,Scarabey的恶意代码是采用Delphi编写的,且没有Scarab的C ++包装,并且赎金票据的内容和语言各不相同。

Scarab的赎金票据通常是采用英文书写的,但它读起来就好像是将俄文一字一句翻译成的英文,而不是正确的英文语法。另一方面,Scarabey则是采用俄文书写的。有趣的是,当研究人员将Scarabey赎金票据的内容放入Google翻译时,他们发现,它包含了与Scarab赎金票据相同的语法错误

更多的证据表明,Scarab的开发者很可能是俄语的使用者,他们使用自己的母语书写赎金票据,并通过翻译器翻译,然后加入到Scarab代码中。

Scarabey与Scarab还存在一个很明显的区别,Scarabrab不像Scarab那样警告受害者尽早与他们联系,这样赎金金额就会更小,否则赎金金额将会随时间而增加。Scarabey会告诉受害者,每24小时后就会有24个文件遭到删除,直到删完为止。

不过,即使存在这些区别,但Scarabey还是仍像Scarab一样,继续使用.scarab 扩展名来加密文件。

虽然,网络上另一些文章指出,Scarabey有能力作为后门,允许远程访问,也可以收集敏感数据,但Malwarebytes在经过深入分析后强调,除了简单地加密受害者计算机上的文件之外,Scarabey并不具备其他功能

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180205B07CEC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券