Der Verschlüsselungstrojaner Scarab sorgt seit heute Morgen bei Sicherheitsforschern für Aufregung. Laut Forcepoint wurden 12,5 Millionen Spam-E-Mail versendet, die den Windows-Schädling enthalten. Betroffen sind hauptsächlich Mails mit der Top-Level-Domain .com, aber auch Adressen mit der .de-Endung sind darunter.

Rund 6 Millionen gekaperte Computer, die zusammen ein Necur-botnet bilden, sind für die Verteilung verantwortlich laut F-Secure. Das selbe Bot-Netz war damals für die Verteilung von Locky verantwortlich.

Die Scarab-Mails beinhalten ein Zip-Archiv mit einem VBA-Skript. Wird dieses ausgeführt, so gelangt der Trojaner auf den Computer und beginnt mit dem Verschlüsseln. Verschüsselte Dateien weisen dann die Endung ".[suupport@protonmail.com].scarab" auf.

Zusätzlich werden von dem Trojaner die Schattenkopien von Windows gelöscht. Über diese hätten Opfer unter Umständen ältere und unverschlüsselte Versionen von Dateien wiederherstellen können.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE