Necurs força e-mails spam infetados pelo ransomware Scarab

Necurs envia mais de 10 milhões de e-mails spam infetados pelo ransomware Scarab

De acordo com os últimos relatos, um famoso botnet Necurs ainda está ativo. Desta vez, o botnet spam mais significativo é usado para propagar o ransomware Scarab. Acredita-se que o Necurs já enviou mais de 12 milhões de e-mails com um anexo infetado.

Os principais países visados são:

  • EUA;
  • Austrália;
  • Reino Unido;
  • França;
  • Alemanha.

Todavia, mesmo que não viva nestes países, tem de ter muito cuidado com todos os e-mails enviados para si por um remetente desconhecido. Caso contrário, pode descarregar um vírus que encripte os seus ficheiros e pede que pague um resgate em troca de uma chave de desencriptação.

A linha de assunto usada para levar utilizadores de PC inconscientes a descarregar um anexo infetado está escrita usando vocabulário relacionado com negócios. O nome do anexo declara: “Digitalizado da [nome da empresa da impressora]” e poderá incluir nomes como Cannon, Epson ou HP. No entanto, tenha atenção pois o nome do anexo, a linha de assunto e detalhes semelhantes podem ser alterados por hackers no futuro próximo.

Não é a primeira vez que o Necurs é usado para propagar ransomware

Quando foi descoberto com 2012, foi reportado que o Necurs propagava o trojan bancário Dridex. Desta vez, foi descoberto em mais de 83000 infeções. Porém, alguns anos mais tarde regressou com a enorme campanha de spam que forçava um famoso ransomware Locky com o auxílio de milhões de mensagens.

No ano passado este botnet foi também apanhado a propagar os vírus ransomware Jaff e GlobeImposter, portanto não é surpresa que hoje seja usado para promover o Scarab. Acredita-se que o botnet é composto de 5 – 6 milhões de bots, portanto é um grande perigo que a sua mais recente campanha vá causar graves perdas a empresas e utilizadores de PC.

Ransomware Scarab ransomware. Factos principais

O ransomware Scarab é um cripto-vírus normal que dificilmente pode ser comparado ao Locky. Contudo, consegue encriptar os ficheiros das vítimas e usurpar o dinheiro na forma de resgate. Um facto interessante é que antes de pedir dinheiro, oferece-se para desencriptar três ficheiros para provar que o seu serviço de desencriptação está disponível.

Assim que os ficheiros estão arruinados, novas extensões chamadas “.scarab” e “.scorpio” são adicionadas a cada um destes. Todas as instruções relacionadas à desencriptação de ficheiros estão escritas no documento “IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT” que está guardado em todas as pastas atacadas pelo vírus.

De momento, a taxa de resgate pedida pelo ransomware ainda varia. Todavia, mesmo que lhe tenha sido pedida uma pequena quantia, não seja ingénuo(a) e não envie o seu dinheiro aos hackers.

Proteja-se do ataque

Como já mencionámos, tem de ter cuidado especial com mensagens de e-mail spam escritas numa linguagem relacionada com negócios. Podem apresentar-se como faturas, contas, relatórios de negócios, mensagens de voz importantes ou recibos de pagamentos.

Se não conhece o remetente ou se a mensagem parecer suspeita, não deve sequer incomodar-se a abri-la. Se ainda acredita que alguém está a tentar enviar-lhe um relatório de negócios importante, pode sempre contatar o remetente para obter mais detalhes sobre o anexo.

Finalmente, não se esqueça com cópias de segurança e software antivírus. Usando cópias de segurança dos seus dados importantes é a principal forma de evitar pagar um resgate porque pode recuperar os seus ficheiros com a ajuda destas. Entretanto, antivírus ainda atualizado pode prevenir que o ransomware infiltre no seu computador.

Sobre o autor
Julie Splinters
Julie Splinters - Especialista em remoção de malware

Julie Splinters é a Editora de Notícias do Semvirus.pt. O seu bacharelato é em Filologia Inglesa.

Contato do Julie Splinters
Sobre a empresa Esolutions

Ler noutras linguagens
Ficheiros
Software
Compare