Erpressertrojaner Scarab

Dezember 1, 2017 3:25 pm Veröffentlicht von

Das Botnet Necur sorgt für gesteigerte Infektionszahlen durch Scarab

 

Experten beobachten zur Zeit eine weltweit steigende Verbreitung des seit Juni kursierenden Verschlüsselungstrojaners „Scarab“.
Verantwortlich dafür soll das Botnet „Necur“ sein.
Damit Sie und Ihr Unternehmen nicht Opfer eines Ransomware-Angriffs werden, fassen wir in unserem Artikel alle wichtigen Informationen und Sicherheitsvorkehrungen für Sie zusammen.

 

Was ist Scarab?

Beim Schädling Scarab handelt es sich um Ransomware.
Viele verschiedene Schädlinge dieser Art haben in den letzten Monaten immer wieder für Schlagzeilen gesorgt.
Ziel der Angreifer ist es, durch den Einsatz von Schadcode, den Rechner oder Daten des Opfers zu verschlüsseln. Der Schlüssel zum Entsperrung soll gegen ein Lösegeld ausgehändigt werden, welches die Geschädigten häufig in Bitcoins an die Angreifer zahlen sollen.
Im Falle von Scarab nennen die Hacker keine konkrete Summe für das Lösegeld, drängen aber zur zügigen Überweisung, da der zu zahlende Betrag sonst angeblich steigen würde.

 

Wie funktioniert Scarab?

Der Trojaner versteckt sich in einem ausführbaren Visual Basic for Applications (VBA) Script.
Diese Scripte basieren auf der Programmiersprache Visual Basic, die besonders zur Steuerung von Programmen aus der Windows-Office-Familie eingesetzt werden.
Führt ein Nutzer das schädliche Script aus, gelangt der Trojaner auf den Rechner und beginnt damit, Dateien zu verschlüsseln. Die betroffenen Dateien erhalten die Endung .[suupport@protonmail.com].scarab und lassen sich nicht mehr öffnen.
Außerdem löscht der Trojaner auch die von Windows erstellten Schattenkopien der Dateien, wodurch sich ältere Versionen der Dateien ebenfalls nicht mehr herstellen lassen.
Dieses Vorgehen gehört mittlerweile zum Standard bei Ransomware.

 

Übertragung über Emailanhänge

Wie bei vielen anderen Erpressertrojanern landet auch Scarab erst einmal im Emailpostfach des potentiellen Opfers. Damit der Schädling dann überhaupt auf den Rechner des Nutzers gelangen kann, muss dieser dazu gebracht werden, den Schadcode auszuführen.
Dies geschieht über eine irreführende Betreffzeile. Diese enthalten meist die Angabe „Scanned from [Gerätenamen]“ in Kombination mit einem entsprechenden Scanner-Gerätenamen. Der Nutzer soll glauben, es handle sich um ein gescanntes Dokument oder Bild. Tatsächlich befindet sich im Anhang aber ein zip-Archiv, welches das schädliche VBA-Script beinhaltet.
Möchte man sich das vermeintlich gescannte Dokument ansehen, führt man das Script aus und infiziert seinen Computer.

 

Wie verbreitet sich Scarab?

Scarab verbreitet sich vor allem über ein Botnet.
Bei einem Botnet handelt es sich um eine Gruppe von vernetzter Schadsoftware. Diese agiert automatisch und macht sich dabei Netzwerkverbindung und Rechner für ihre Kommunikation zunutze. Das geschieht ohne Einverständnis und Wissen der eigentlichen Eigentümer der betroffenen Rechner. Bei der erneuten Infektionswelle von Scarab kam dafür das bereits durch Angriffe von Locky bekannt gewordene Botnet namens Necur zum Einsatz.
Hierbei sind am meisten .com-Domains betroffen. Aber auch Adressen mit .de-Endung gehören zu den häufiger anvisierten Zielen.

 

Wie kann ich mich schützen?

Seien Sie bei Emails mit fragwürdigem Absender besonders vorsichtig und öffnen Sie Dateianhänge nur, wenn Sie der Quelle der Datei vertrauen.
Achten Sie dabei vor allem auf die verdächtigen Betreffzeilen, die auf ein vermeintlich gescanntes Dokument hinweisen.
Darüber hinaus ist es wichtig, dass sich Antivirusprogramme und Firewallschutz auf dem neuesten Stand befinden.

 

Hilfe und Sofortmaßnahmen

Bei der Flut von Emails im Arbeitsalltag kann es schnell einmal vorkommen, dass man versehentlich eine schädliche Datei ausführt.
Sollten Sie bemerken, dass Ihr Rechner mit Ransomware wie Scarab infiziert ist, sollten Sie den Rechner schnellstmöglich vom Netzwerk trennen und ausschalten. So wird verhindert, dass sich der Schädling verbreitet und auf dem bereits infizierten Computer weiter Daten verschlüsselt.
Um weiteren Datenverlust und Schäden für Ihr Unternehmen zu verhindern, empfiehlt es sich, einen Profi zu beauftragen, der sich um die Rettung Ihrer Daten kümmert, den Schädling entfernt und Sie gegen weitere Angriffe rüstet.

Sollten Sie betroffen sein, dann zögern Sie nicht, unsere Soforthilfe in Anspruch zu nehmen.
Rufen Sie uns an ( 0221 / 63 06 15 16 0 ) und wir kümmern uns schnellstmöglich um Ihr Problem.

 

Natürlich können Sie uns auch jeder Zeit kontaktieren, wenn Sie allgemeine Fragen zu Ihrer Unternehmens-IT haben oder ein Beratungsgespräch wünschen.
Sollten Sie sich nicht sicher sein, wie es um Ihre IT steht, können Sie auch unseren kostenlosen Sicherheits-Check in Anspruch nehmen.
Gerne entwickeln wir mit Ihnen zusammen die optimal auf Ihr Unternehmen angepasste Sicherheitslösung.

Wir freuen uns auf Ihren Anruf oder Ihre Nachricht via Kontaktformular!

 

Quellen:
https://www.heise.de/security/meldung/Necur-Botnet-soll-Erpressungstrojaner-Scarab-massenhaft-verbreiten-3900641.html

https://blogs.forcepoint.com/security-labs/massive-email-campaign-spreads-scarab-ransomware