Kampanye email berbahaya yang berasal dari jaringan spam terbesar di dunia, Necurs, menyebarkan strain ransomware baru dengan kecepatan lebih dari 2 juta email per jam dan memukul komputer di seluruh dunia. Botnet malspam populer  sebelumnya telah menemukan distribusi trojan perbankan Dridex, trojan Trickbot, ransomware Locky, serta ransomware Jaff, dan kini telah mulai menyebarkan versi baru Scarab ransomware.


Menurut F-Secure, botnet Necurs adalah pengirim spam yang paling menonjol dengan lima sampai enam juta host online yang terinfeksi setiap bulan dan bertanggung jawab atas kampanye spam malware terbesarsaat ini. Scarac ransomware adalah keluarga ransomware baru yang pada awalnya terlihat oleh pencipta ID Ransomware - Michael Gillespie pada bulan Juni tahun ini.

Menurut sebuah posting blog yang diterbitkan oleh perusahaan keamanan Forcepoint, kampanye email besar yang menyebarkan virus ransomware Scarab ini dimulai sekitar pukul 07:30 UTC pada tanggal 23 November (Kamis) dan mengirim sekitar 12,5 juta email hanya dalam waktu enam jam.

Peneliti keamanan forcepoint mengatakan "sebagian besar lalu lintas dikirim ke domain tingkat atas .com (TLD). Namun, diikuti oleh TLD spesifik di wilayah  Inggris, Australia, Prancis, dan Jerman." Email spam berisi downloader VBScript berbahaya yang dikompres dengan 7zip yang menarik final payload, dengan salah satu baris subjek :
  •     Scanned from Lexmark
  •     Scanned from Epson
  •     Scanned from HP
  •     Scanned from Canon
Seperti kampanye botnet Necurs sebelumnya, VBScript berisi sejumlah referensi seri Game of Thrones, dengan string 'Samwell' dan 'JohnSnow'. Payload terakhir adalah versi terbaru dari ransomware Scarab tanpa perubahan nama file, namun menambahkan ekstensi file baru dengan ".[Suupport@protonmail.com].scarab" ke file terenkripsi.

Setelah selesai dengan enkripsi, ransomware kemudian menjatuhkan uang tebusan dengan nama file "IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT" di dalam setiap direktori yang terpengaruh. Catatan uang tebusan tidak menyebutkan jumlah yang diminta oleh penjahat; Sebagai gantinya, hanya menyatakan bahwa "the price depends on how fast you [the victim] write to us". Namun, ransomware Scarab menawarkan mendekripsi tiga file secara gratis untuk membuktikan dekripsi akan bekerja: "Before paying you can send us up to 3 files for free decryption".

Untuk melindungi terhadap infeksi ransomware semacam itu, Anda harus selalu curiga terhadap dokumen tak diundang yang dikirim melalui email dan tidak boleh mengeklik tautan yang ada di dokumen tersebut kecuali memverifikasi sumbernya. Yang terpenting, simpan rutin backup ke perangkat penyimpanan eksternal yang tidak selalu terhubung ke PC Anda agar selalu memiliki pegangan pada semua file dan dokumen penting Anda.
 
Top