Necurs sprer søppelpost med infisert Scarab ransomware

Necurs sender mer enn 10 millioner e-poster infisert med ransomware-trusselen Scarab

I følge de nyeste rapportene er det beryktede botnetet Necurs fremdeles aktivt. Denne gangen benyttes botnetet til å spre ransomware-trusselen Scarab. Det antas at Necurs allerede har sent mer enn 12 millioner e-poster med et infisert vedlegg.

Landene som først og fremst angripes er:

• USA;
• Australia;
• Storbritannia;
• Frankrike;
• Tyskland.

Selv om du ikke bor i et av disse landene bør du være veldig forsiktig med alle e-poster som kommer fra ukjente avsendere. Ellers kan du komme til å laste ned et virus som krypterer filene dine og ber deg om å betale en løsesum i bytte mot dekrypteringsnøkkelen.

Emnet som brukes for å lure uoppmerksomme PC-brukere til å laste ned det infiserte vedlegget er gjerne skrevet med et veldig formelt språk. Vedlegget inkluderer beskrivelsen: “Scanned from [printer company name]” og kan inkludere navn som Canon, Epson eller HP. Vær oppmerksom på at navnet på vedlegget, emnet eller lignende detaljer kan bli endret av hackerne i den nærmeste fremtid.

Dette er ikke første gang Necurs brukes til å spre ransomware

Da botnetet Necurs først ble oppdaget i 2012, ble det rapportert brukt til å spre banktrojaneren Dridex. Den gangen ble det funnet i mer enn 83 000 infeksjoner. Flere år senere kom det tilbake med en storstilt kampanje for å spre det beryktede ransomware-programmet Locky ved hjelp av millioner av e-poster.

I fjor ble det oppdaget at dette botnetet også ble brukt til å spre ransomware-virusene Jaff og Globelmposter, så det er ingen overraskelse at det i dag brukes til å promotere Scarab. Det antas at botnetet består av 5-6 millioner boter, så det er en stor fare for at denne nyeste kampanjen kommer til å forårsake store tap både for firmaer og privatbrukere.

Fakta om Scarab ransomware

Scarab ransomware er et kryptovirus som ikke kan sammenlignes med Locky. Det kan imidlertid kryptere offerets filer og svindle dem for penger ved å be om en løsesum. Et interessant faktum er at programmet tilbyr offeret å dekryptere tre filer for å bevise at dekrypteringstjenesten finnes, før det ber om løsepengene.

Så snart filene er krypterte, legges det til nye filendelser, nemlig .scarab og .scorpio. Alle instruksjoner gis i dokumentet «IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT», som lagres i alle mappene som er angrepet av viruset.

Det varierer fremdeles hvor mye løsepenger ransomware-programmet ber om. Selv om du kun blir bedt om å betale små summer, bør du ikke være naiv og sende penger til svindlerne.

Beskytte deg selv mot angrep

Du må være spesielt forsiktig med søppelmeldinger som er skrevet på et formelt språk. De kan dukke opp som fakturaer, regninger, firmarapporter, viktige talemeldinger eller kvitteringer.

Hvis du ikke kjenner til avsenderen eller hvis meldingen ser mistenkelig ut, bør du ikke åpne den. Hvis du tror at noen prøver å sende deg en viktig rapport, kan du alltid kontakte avsenderen for å få mer opplysninger om vedlegget.

Til slutt bør du ikke glemme å lage sikkerhetskopier og installere antivirusprogrammer. Ved å ta sikkerhetskopier av all viktig data kan du enkelt gjenopprette filene dine uten hjelp fra svindlerne. Samtidig kan du bruke et oppdatert antivirus-program til å forhindre ransomware fra å infiltrere datamaskinen din.