勒索软件“圣甲虫”再发新变种Scarabey 目标瞄准俄语用户

“用指尖改变世界”

勒索软件“圣甲虫(Scarab)”是在2017年6月首次被发现的。从那以后，其发布了数个变种并被发现。最流行或传播最广泛的版本是通过僵尸网络Necurs分发的，最初是采用Visual C编写的。

网络安全公司Malwarebytes却在去年12月份发现了另一个独特的新变种，他们将其标识为“Scarabey”。它与Scarab存在多个区别，这包括采用了不同的分发方式、不同的编程语言以及不同的有效载荷代码。

像大多数勒索软件一样，Scarabey的目的是在加密系统上的文件之后，向受害者勒索比特币进行赎金支付。然而，Scarabey并没有像Scarab那样通过内部的垃圾电子邮件进行分发，而是通过远程桌面协议(RDP, Remote Desktop Protocol)手动安装到目标服务器和系统上的。

与Scarab不同，Scarabey的恶意代码是采用Delphi编写的，且没有Scarab的C ++包装，并且赎金票据的内容和语言各不相同。

Scarab的赎金票据通常是采用英文书写的，但它读起来就好像是将俄文一字一句翻译成的英文，而不是正确的英文语法。另一方面，Scarabey则是采用俄文书写的。有趣的是，当研究人员将Scarabey赎金票据的内容放入Google翻译时，他们发现，它包含了与Scarab赎金票据相同的语法错误。

更多的证据表明，Scarab的开发者很可能是俄语的使用者，他们使用自己的母语书写赎金票据，并通过翻译器翻译，然后加入到Scarab代码中。

Scarabey与Scarab还存在一个很明显的区别，Scarabrab不像Scarab那样警告受害者尽早与他们联系，这样赎金金额就会更小，否则赎金金额将会随时间而增加。Scarabey会告诉受害者，每24小时后就会有24个文件遭到删除，直到删完为止。

不过，即使存在这些区别，但Scarabey还是仍像Scarab一样，继续使用.scarab 扩展名来加密文件。

虽然，网络上另一些文章指出，Scarabey有能力作为后门，允许远程访问，也可以收集敏感数据，但Malwarebytes在经过深入分析后强调，除了简单地加密受害者计算机上的文件之外，Scarabey并不具备其他功能。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。