“用指尖改变世界”
勒索软件“圣甲虫(Scarab)”是在2017年6月首次被发现的。从那以后,其发布了数个变种并被发现。最流行或传播最广泛的版本是通过僵尸网络Necurs分发的,最初是采用Visual C编写的。
网络安全公司Malwarebytes却在去年12月份发现了另一个独特的新变种,他们将其标识为“Scarabey”。它与Scarab存在多个区别,这包括采用了不同的分发方式、不同的编程语言以及不同的有效载荷代码。
像大多数勒索软件一样,Scarabey的目的是在加密系统上的文件之后,向受害者勒索比特币进行赎金支付。然而,Scarabey并没有像Scarab那样通过内部的垃圾电子邮件进行分发,而是通过远程桌面协议(RDP, Remote Desktop Protocol)手动安装到目标服务器和系统上的。
与Scarab不同,Scarabey的恶意代码是采用Delphi编写的,且没有Scarab的C ++包装,并且赎金票据的内容和语言各不相同。
Scarab的赎金票据通常是采用英文书写的,但它读起来就好像是将俄文一字一句翻译成的英文,而不是正确的英文语法。另一方面,Scarabey则是采用俄文书写的。有趣的是,当研究人员将Scarabey赎金票据的内容放入Google翻译时,他们发现,它包含了与Scarab赎金票据相同的语法错误。
更多的证据表明,Scarab的开发者很可能是俄语的使用者,他们使用自己的母语书写赎金票据,并通过翻译器翻译,然后加入到Scarab代码中。
Scarabey与Scarab还存在一个很明显的区别,Scarabrab不像Scarab那样警告受害者尽早与他们联系,这样赎金金额就会更小,否则赎金金额将会随时间而增加。Scarabey会告诉受害者,每24小时后就会有24个文件遭到删除,直到删完为止。
不过,即使存在这些区别,但Scarabey还是仍像Scarab一样,继续使用.scarab 扩展名来加密文件。
虽然,网络上另一些文章指出,Scarabey有能力作为后门,允许远程访问,也可以收集敏感数据,但Malwarebytes在经过深入分析后强调,除了简单地加密受害者计算机上的文件之外,Scarabey并不具备其他功能。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
领取专属 10元无门槛券
私享最新 技术干货