Ảnh: Cybersecurity Insiders

Nếu như phiên bản Scarab ban đầu được phân phối bởi một chiến dịch spam khổng lồ thông qua mạng botnet Necurs thì biến thể Scarabey này lại nhắm mục tiêu đến các kết nối Remote Desktop Protocol, tự hủy trên các máy chủ và hệ thống, nguy hiểm nhất ở khả năng xóa dần các tệp của người dùng cứ sau mỗi 24 giờ cho đến khi họ trả tiền chuộc.

Các nhà nghiên cứu Malwarebytes cho biết: "Scarabey được viết bằng Delphi chứ không phải C++ như Scarab, nội dung và ngôn ngữ của các yêu cầu tiền chuộc cũng khác nhau. Nó đã "hoành hành" từ tháng 12-2017, đòi nạn nhân thanh toán Bitcoin sau khi lây nhiễm vào hệ thống và mã hóa tất cả các tệp tin."

Mặc dù yêu cầu tiền chuộc của Scarabey được viết bằng tiếng Anh nhưng các nhà nghiên cứu lưu ý rằng văn bản này có rất nhiều sai sót trong cú pháp và ngữ pháp.

Theo đó, lệnh đòi tiền chuộc cảnh báo nếu người dùng không chạy chương trình giải mã trong vòng 72 giờ, tất cả các tập tin trên máy tính sẽ bị xóa hoàn toàn sau mỗi 24 giờ, mà không có khả năng khôi phục.

Tuy nhiên, đây chỉ là một chiến thuật khiến người dùng sợ hãi để nhanh trả tiền chuộc hơn. Bởi lẽ không có bất kỳ dấu hiệu nào cho thấy hacker đã sao chép các tệp tin đến vị trí khác hoặc có khả năng xóa từ xa các tệp từ máy tính của nạn nhân.

"Nếu chỉ sử dụng một khóa mã hóa duy nhất cho tất cả các tệp tin, người dùng có thể lưu khóa và sử dụng nó để giải mã tất cả các tập tin trên ổ cứng của mình." - Malwarebytes kết luận.