Nuevos correos maliciosos de spam distribuyen el ransomware Scarab

Consulta tu correo electrónico con mucha precaución porque ha sido detectada una nueva campaña masiva de spam que distribuye el ransomware Scarab. De acuerdo con los informes de investigadores de las firmas de seguridad F-Secure, Forcepoint, MalwareHunter y MyOnline Security, se han enviado más de 12,5 millones de correos que tienen el objetivo de encriptar los archivos de las víctimas.

Scarab está siendo distribuido a través de Necurs, una de las mayores redes de bots distribuidoras de malware de Internet. Se trata de la cuarta cepa de ransomware que propaga esta botnet, que también ha sido responsable de la difusión de Locky, JAFF y GlobeImposter. Y no solo esto: también ha distribuido los troyanos bancarios Dridex y Trickbot.

Los correos electrónicos maliciosos simulan contener un archivo que ha sido escaneado, por lo que los asuntos más comunes que han hallado los investigadores son Scanned from HP, Scanned from Epson o similares.

El fichero adjunto es un 7Zip que contiene un script de Visual Basic que descarga una secuencia de comandos y ejecuta el virus.

Scarab es un ransomware que fue detectado por primera vez el pasado mes de junio por el investigador Michael Gillespie. La primera versión era bastante básica, pero un mes después apareció una nueva cepa más avanzada. La identificada en esta oleada es una tercera versión que cifra los archivos añadiendo a cada fichero la extensión .scarab y elimina las copias de volúmenes ocultos. 

Los atacantes no especifican la cantidad de dinero requerida a las víctimas en la nota de rescate, sino que les instan a comunicarse con ellos a través del correo o de BitMessage. Además, afirman que cuanto antes se establezca el contacto más barata resultará la restauración de los archivos. Lamentablemente, de momento no existe un método conocido para descifrar los ficheros encriptados.