近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時發現 Scarab“圣甲蟲”勒索軟件變種開始活躍， 其名為 Scarabey。其傳播方式不同于其他 變種，載荷代碼亦不相同。

     與大多數勒索軟件一樣，Scarabey 加 密系統上的文件后要求受害者支付比特 幣。 然 而，Scarabey 并 不 像 原 始 的 Scarab 那樣通過 Necurs malspam 進行傳播，而是 針對俄羅斯用戶并通過服務器和系統上的 RDP 功能或手動方式進行傳播。另外， Scarabey 是由 Delphi 編寫的，而 Scarab 使 用 C++，并且勒索信息和使用語言也與其 他樣本不同。對受害者而言，Scarabey 與 其他 Scarab 勒索軟件之間的主要區別在于勒索信息中使用的恐嚇策略。在 Scarab 樣 本中，勒索信息是英文內容，但看起來像 是將俄語逐字翻譯成英文，而不知道正確 的英語語法。Scarabey 是用俄語寫的，但 有趣的是，若將 Scarabey 的勒索信息使用 Google 翻譯時，將出現與 Scarab 的勒索信 息相同的語法錯誤。

     從 整 體 代 碼 來 看，Scarabey 和 Scarab 幾乎是逐字節相同的，因此很可能是來自 同一作者。此外，其生成的子進程、刪除 的文件、使用的加密方法以及使用的互斥 量也都是相同的，這也是 Scarabey 被認為 是 Scarab 變種的原因。Scarabey 使用的加 密算法是 AES256，其加密密鑰會寫在注 冊表鍵值中。在磁盤加密完成后，它會遍歷網絡文件夾和磁盤并進行加密，最后彈 出勒索信息。

      安天 CERT 提醒廣大網絡使用者， 要提高網絡安全意識，在日常工作中要及 時進行系統更新和漏洞修復，不要隨意下 載非正版的應用軟件、非官方游戲、注冊 機等。收發郵件時要確認收發來源是否可 靠，更加不要隨意點擊或者復制郵件中的 網址，不要輕易下載來源不明的附件，發 現網絡異常要提高警惕并及時采取應對措 施，養成及時更新操作系統和軟件應用的 好習慣。同時也要做好文件的備份，以防 止勒索軟件加密重要文件后無法恢復。

      目前，安天追影產品已經實現了對該類 惡意代碼的檢出。