安天捕風團隊近期發現了 Scarab 的最新 變種，其偽裝成一個錄屏軟件，以此來繞過 安全軟件的檢測。Scarab（圣甲蟲）勒索病 毒于 2017 年 6 月首次被發現，此后，有多個 版本的變種陸續產生并被發現，其一般利用 Necurs 僵尸網絡進行傳播，但通過跟蹤發現， 近期的 Scarab 勒索病毒可以通過 RDP 爆破 + 人工、捆綁流氓軟件的方式進行傳播。

     經分析發現，該變種從表面看是偽裝成 一個錄屏軟件，有詳細的簽名信息，可以截 圖快照，但是與多數病毒一樣設置了自啟動 以及自刪除功能，該功能給安全軟件增加查 殺難度，而且為保證數據不可恢復，該變種 還進行了刪除卷影的操作。它的危害性很大， 一旦病毒感染某主機，便會殺掉多數的系統進程、應用進程，然后對文件夾進行遍歷做 加密動作，加密成功后彈出勒索信息。

     樣本運行后，首先會獲取操作系統版本 信息，啟動子進程，進行持久化操作，復制 自 身 到‘C:\Users\dell\AppData\Roaming’ 目錄下并命名為 sevnz.exe，然后執行 sevnz. exe 對內存中相應字符串進行解密，之后通過 執行 mshta.exe 來刪除 sevnz.exe。然后主程序 通過調用 mshta.exe 將相應的系統備份刪除、 磁盤卷影等操作命令行寫入注冊表項、遍歷 進程，如果發現相關進程則將相關進程結束， 將內存解密出相應的加密字符串設置為注冊 表項，并在內存中解密生成相應的勒索信息 和用戶的加密 ID，然后遍歷文件目錄，加密 相應的文件，并隨機生成文件名，將加密之后的文件名后綴改為 .hitler。隨后在加密文 件的目錄下會生成一個寫有勒索信息的 txt 文 檔‘HOW TO RECOVER ENCRYPTED FILES’，之后屏幕上會彈出相應的勒索信息， 包含用戶 ID、聯系郵箱以及貨幣購買地址。

      勒索病毒給企業和個人的數據安全帶來 了嚴重的威脅，一旦主機被入侵，主機中的 文件都有可能被鎖，而且被鎖文件將難以恢 復，因此防護顯得極為重要。在此，安天提 醒廣大互聯網用戶需安全、健康上網，安裝 殺毒、防毒軟件（如：安天智甲工具）并及 時升級系統和修補設備漏洞。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。