Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Seit den frühen Morgenstunden sorgt der Verschlüsselungstrojaner Scarab bei Sicherheitsforschern für Furore. Forcepoint spricht von 12,5 Millionen versendeten Spam-E-Mails, die den Windows-Schädling im Gepäck haben. Die Kampagne soll weltweit stattfinden. Ein Großteil dieser Mails geht an Adressen mit der Top-Level-Domain .com. Es sind aber auch Adressen mit der .de-Endung darunter, erläutert Forcepoint.

Die Verteilung soll über das riesige Necur-Botnet mit rund 6 Millionen gekaperten Computern stattfinden, führt F-Secure aus. Über Necur gelangte in der Vergangenheit auch der Erpressungstrojaner Locky auf Millionen Computer.

Doppelte Vorsicht bei Mails mit Anhängen!

Dateianhänge aus E-Mails sollte man niemals ohne Nachzudenken öffnen. Vor dem Scarab-Hintergrund sollte man derzeit besonders misstrauisch bei Mails mit vermeintlich gescannten Bildern sein. Die Erpresser setzen dabei auf Betreffzeilen wie "Scanned form Lexmark" oder "Scanned from Epson".

In Wirklichkeit haben die Scarab-Mails aber ein Zip-Archiv mit einem VBA-Skript an Bord. Führt ein Opfer dieses aus, gelangt der Schädling auf den Computer und beginnt mit dem Verschlüsseln. Gefangengenommene Dateien weisen dann die Endung ".[suupport@protonmail.com].scarab" auf.

Außerdem soll der Trojaner die Schattenkopien von Windows löschen. Darüber hätten Opfer unter Umständen ältere und unverschlüsselte Versionen von Dateien wiederherstellen können. Das Löschen der Schattenkopien gehört schon länger zum Standard-Repertoire von Ransomware.

Lösegeldforderung

Die Höhe des Lösegelds nennen die Erpresser nicht. In ihrer Botschaft weisen sie aber darauf hin, dass Opfer sie zügig unter der angegebenen E-Mail-Adresse kontaktieren sollten, da sonst die Höhe des Lösegeld steigt. Derzeit soll es kein kostenloses Entschlüsselungstool geben. (des)