Bart Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 25 июн 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Bart Ransomware: Фейк-шифровальщик

    Создатели Dridex 220 и Locky Affid=3 запустили новый вымогатель Bart. Они используют загрузчик RockLoader для доставки Bart. Он имеет экран оплаты как у Locky, но блокирует (не шифрует) файлы без предварительного подключения к C&C-серверу.

    Вчера исследователи Proofpoint обнаружили большую спам-кампанию с zip-вложениями, содержащими JavaScript-код. При запуске содержимого будет загружается и устанавливается загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем "Photos", вложениями могут быть photos.zip, image.zip, picture.zip и т.п. В этих архивах находится JavaScript-файл, например, такой PDF_123456789.js

    Для информирования жертвы создается два типа файлов. Записка о выкупе recover.txt размещается в папках с заблокированными файлами, а файл изображения recover.bmp ставится в качестве обоев рабочего стола.

    Перед началом работы вредонос определяет язык системы пользователя. Bart прекращает работу, если язык системы пользователя определен как русский, украинский или белорусский и, определив язык, на котором работает система, предлагает записку с требованием выкупа на итальянском, французском, немецком и испанском языках. Английский используется по умолчанию.

    К заблокированным файлам добавляется расширение .bart.zip.

    Целевые расширения (наиболее важные выделены прописными буквами):
    .123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, . nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .PDF, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .RAR, .raw, .RTF, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ZIP... Возможно, даже больше.

    Для уплаты выкупа жертве предлагается посетить платежный портал, чтобы заплатить 3 Bitcoins (около $ 2000 по текущему обменному курсу). Платежный портал Decryptor Bart похож на тот, который используется Locky, только название другое. Информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID".

     
    Kиpилл, lilia-5-0, Охотник и ещё 1-му нравится это.
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    ПОЯВИЛАСЬ УТИЛИТА, СНИМАЮЩАЯ ШИФРОВАНИЕ ТРОЯНА-ВЫМОГАТЕЛЯ BART



    Аналитик антивирусной компании AVG Якуб Крустек разработал бесплатную утилиту, которая восстанавливает файлы, закодированные трояном-вымогателем Bart.

    Bart — это относительно новая вредоносная программа. Первая кампания по распространению этого трояна стартовала в конце июня. Спам со ссылками на него рассылал ботнет Necurs, в прошлом участвовавший в распространении Dridex и Locky (с последним Bart связывают многие общие черты).

    Поразив компьютер жертвы, Bart упаковывает файлы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал. После этого он требует у пользователя три биткоина (около 129 тысяч рублей) и восстанавливает файлы только после уплаты выкупа.


    Поскольку Bart обходится без крипто, ему не нужен командный сервер для хранения ключей от файлов жертвы. За счёт этого он может работать автономно и причинять вред даже в тех случаях, когда доступа к интернету нет. Его нельзя заблокировать при помощи прокси, как некоторые другие трояны-вымогатели.

    [​IMG]
    Утилита, которую разработал Якуб Крустек, определяет пароль путём сравнения файла, над которым уже поработал Bart, и его оригинала. Как правило, это не проблема: хотя бы один из закодированных файлов наверняка сохранился в почте, бэкапах или другом источнике.

    После запуска декриптор AVG запрашивает пару файлов для анализа. Кроме того, нужно показать ему, где лежат остальные документы, испорченные трояном-вымогателем. Об остальном программа позаботится сама.


    Источник: Появилась утилита, снимающая шифрование трояна-вымогателя Bart - «Хакер»
     
    Охотник, Kиpилл и SNS-amigo нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    Bart Ransomware в новой версии 2.0 (середина августа) отказался от блокировки файлов своих жертв и сохранения в защищенных паролем ZIP-файлах (.bart.zip). Они теперь на самом деле шифруют файлы и используют расширение .bart для зашифрованных.
    Видеоролик.
    Источник
     
    Охотник нравится это.

Поделиться этой страницей