El ransomware Scarab

El pasado 23 de Noviembre fue detectado un nuevo ransomware llamado Scarab, en poco mas de 6 horas se habían lanzado mas de 12 millones de correos a través de una de las bootnet mas grande actualmente llamada NECUS. Este ransomware llegaba via correo electrónico con el asunto «Scanned from HP«, «Scanned from Canon» o «Scanned from Lexmark» este virus lleva un adjunto con un fichero comprimido en 7zip, que si se abre contiene un script que se descarga el ransomeware que cifra el ordenador con S.O. Windows y borra los puntos de restauración, haciendo imposible el volver a un punto de restaración anterior, pidendo a continuación un rescate.

Nuestro sistema antispam detectó la llegada de estos correos  el pasado día 23 de Noviembre entre las 9:10  y las 12:30 del mismo, eliminando el  100%  de los correos entrantes infectados con este virus por lo que ninguno a su destino final, todos llegaron con el asunto: «Scanned from Canon»

El truco que han utilizado estos delincuentes ha sido poner en el remitente la dirección de correo copier@dominio.xxx , siendo dominio.xxx el dominio del destinatario, porque  las empresas que usan escaners centrales, cuando un trabajador escanea un conjunto de documentos la máquina lo envía automáticamente por correo electrónico desde el mismo scaner, al puesto de trabajo del trabajador, poniendo como remitente la palabra «copier».

Alive Systems