Украинская Киберполиция сообщила о начале массового распространения вируса-шифровальщика Scarab. Впервые его зафиксировали ещё в июне 2017 года, а 24 ноября он, по данным Киберполиции, начал распространяться через спам-ботнет крупнейшей сети Necurs.

Распространение идёт через электронную почту, а собственно шифровальщик замаскирован под архивы с отсканированными изображениями. В теме письма указывалось «Отсканировано от Lexmark», «Отсканировано от HP», «Отсканировано от Canon», «Отсканировано от Epson». К письму прикреплён архив 7Zip, с заархивированным Visual Basic скриптом, который после запуска загружал на ПК жертвы EXE-файл вируса-вымогателя Scarab.

Вирус шифрует файлы и открывает текстовый файл с названием «ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЭТО.TXT», размещённый на Рабочем столе. В тексте говорится, что сумма выкупа будет расти со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage. При этом сама сумма не указана.

В Киберполиции рекомендуют внимательно относиться ко всей электронной почте и получать подтверждение передачи файлов от адресата через другие каналы связи вроде мессенджеров или SMS.

Как отмечается, Scarab добавляет к именам файлов дополнительное расширение «.[Suupport@mail.ru].scarab». Например, файл «sample.jpg» переименовывается в «sample.jpg.[Suupport@mail.ru].scarab». Обновленные варианты Scarab дополняют шифрования файлов расширением «.[Suupport@protonmail.com].scarab». Другие варианты этого вредоносного ПО добавляют к зашифрованным файлам расширение «.[unlocking.guarantee@aol.com]». О возможности расшифровки уже зашифрованных файлов, срабатывании антивирусов и масштабах распространения пока ничего не сообщается.