Botnetz versendet 12,5 Millionen E-Mails mit Scarab Ransomware im Anhang

Wieder viele Spam E-Mails im Posteingang? Wundern Sie sich nicht, in der Vorweihnachtszeit werden wir wieder massivst mit nervigen Spam-Mails befeuert. Nicht nur das eines der größten Botnetze mit Namen “Necurs” es auf uns abgesehen hat, zudem enthalten die versendeten Spam-Mails einen gefährlicher Erpressungs-Trojaner im Anhang.

Stündlich werden weltweit mehr als 2 Millionen Spam-Mails versendet – Verantwortlich ist das “Botnetz Necurs”, eins der größten Spam-Botnetze.

Das Botnetz Necurs gehört laut den Experten von F-Secure zu den größten und beliebtesten Botnetzen zur Verbreitung von groß angelegten Spam-Kampagnen. Mit über sechs Millionen infizierten Hosts, wird das Necurs-Botnet für die Verbreitung des “Dridex Banking-Trojaner“, “Trickbot Bank-Trojaner“, der “Locky-Ransomware” und “Jaff-Ransomware” weltweit verantwortlich gemacht.

Über die aktuelle Spam-Offensive wird diesmal eine neue Version der “Ransomware Scarab” verbreitet. Die Scarab Ransomware gehört zu einer relativ neuen Ransomware-Familie, die im Juni dieses Jahres von ID Ransomware Betreiber Michael Gillespie entdeckt wurde.

Bild: blogs.forcepoint.com – E-Mail Kampagne

Laut einem Blogpost der Sicherheitsfirma Forcepoint begann am 23. November um ca. 07:30 eine massive E-Mail-Kampagne, die den Scarab Ransomware-Trojaner in Umlauf brachte. Dabei wurden in nur sechs Stunden rund 12,5 Millionen E-Mails versendet, die in ihrem Anhang eine mit 7zip komprimierte VBScript-Downloader getarnt als Bilddatei (image2017) enthielten. Alles sicher? Die E-Mail wurde angeblich vom Sicherheitssystem (Scanned from) überprüft.

Bild: blogs.forcepoint.com – Spam E-Mail

Sobald das Skript bzw. angebliche Bild vom Anwender ausgeführt wurde, beginnt das böse Spiel. Von einem Server der Kriminellen wird die eigentliche Ransomware nachgeladen und auf dem Computer des Benutzers ausgeführt. Nicht nur, dass die Ransomware Kontakt mit verschiedene Webseiten aufnimmt und IP-Adresse und Informationen des infizierten Systems übermittelt, beginnt “Scarab” im Hintergrund mit der Verschlüsselung der Dateien und deaktiviert zudem die Windows-Wiederherstellungsfunktion. Hat die Ransomware ihr Werk erfolgreich beendet, haben alle verschlüsselten Daten die Erweiterung  „.scarab“ erhalten und zudem wurde in jedem Ordner die Erpressermeldung (“WENN SIE ALLE DATEIEN ZURÜCK ERHALTEN WOLLEN, LESEN SIE DIESEN.TXT“) in Textform abgelegt.

Bild: blogs.forcepoint.com – Erpresserschreiben

Scarab Ransomware mit eigenwilliger Lösegeldforderung

Wurden alle Dateien verschlüsselt, blendet die Ransomware üblicherweise automatisch die Lösegeldforderung großflächig ein. Die Opfer werden aufgefordert, sich per E-Mail oder Bitmessage an die Erpresser zu wenden. Ungewöhnlich ist, dass das Erpresserschreiben nicht die Lösegeldsumme angibt, sondern einfach besagt: “Der Preis hängt davon ab, wie schnell Sie uns schreiben“.

Zudem bietet die Scarab Ransomware an, drei Dateien kostenlos zu entschlüsseln. Information der Kriminellen: “Bevor Sie zahlen, können Sie uns bis zu 3 Dateien zur freien Entschlüsselung schicken.

Achtung: Kommen Sie niemals der Lösegeldforderung nach! Angst und Einschüchterung sind die eigentliche Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!

Wie können Sie sich am besten gegen Ransomware-Infektionen schützen.

Vorsicht ist besser als Nachsicht: Datei vor dem Öffnen beim kostenfreien Dienst von Virustotal.com auf Viren testen. (https://wiki.botfrei.de/VirusTotal)

  1. Wichtiger denn je, machen Sie regelmäßig Backups von Ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immer up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac.