• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Bart Ransomware: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Bart Ransomware: Фейк-шифровальщик

Создатели Dridex 220 и Locky Affid=3 запустили новый вымогатель Bart. Они используют загрузчик RockLoader для доставки Bart. Он имеет экран оплаты как у Locky, но блокирует (не шифрует) файлы без предварительного подключения к C&C-серверу.

Вчера исследователи Proofpoint обнаружили большую спам-кампанию с zip-вложениями, содержащими JavaScript-код. При запуске содержимого будет загружается и устанавливается загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем "Photos", вложениями могут быть photos.zip, image.zip, picture.zip и т.п. В этих архивах находится JavaScript-файл, например, такой PDF_123456789.js

Для информирования жертвы создается два типа файлов. Записка о выкупе recover.txt размещается в папках с заблокированными файлами, а файл изображения recover.bmp ставится в качестве обоев рабочего стола.

Перед началом работы вредонос определяет язык системы пользователя. Bart прекращает работу, если язык системы пользователя определен как русский, украинский или белорусский и, определив язык, на котором работает система, предлагает записку с требованием выкупа на итальянском, французском, немецком и испанском языках. Английский используется по умолчанию.

К заблокированным файлам добавляется расширение .bart.zip.

Целевые расширения (наиболее важные выделены прописными буквами):
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, . nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .PDF, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .RAR, .raw, .RTF, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ZIP... Возможно, даже больше.

Для уплаты выкупа жертве предлагается посетить платежный портал, чтобы заплатить 3 Bitcoins (около $ 2000 по текущему обменному курсу). Платежный портал Decryptor Bart похож на тот, который используется Locky, только название другое. Информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID".

 
ПОЯВИЛАСЬ УТИЛИТА, СНИМАЮЩАЯ ШИФРОВАНИЕ ТРОЯНА-ВЫМОГАТЕЛЯ BART



Аналитик антивирусной компании AVG Якуб Крустек разработал бесплатную утилиту, которая восстанавливает файлы, закодированные трояном-вымогателем Bart.

Bart — это относительно новая вредоносная программа. Первая кампания по распространению этого трояна стартовала в конце июня. Спам со ссылками на него рассылал ботнет Necurs, в прошлом участвовавший в распространении Dridex и Locky (с последним Bart связывают многие общие черты).

Поразив компьютер жертвы, Bart упаковывает файлы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал. После этого он требует у пользователя три биткоина (около 129 тысяч рублей) и восстанавливает файлы только после уплаты выкупа.


Поскольку Bart обходится без крипто, ему не нужен командный сервер для хранения ключей от файлов жертвы. За счёт этого он может работать автономно и причинять вред даже в тех случаях, когда доступа к интернету нет. Его нельзя заблокировать при помощи прокси, как некоторые другие трояны-вымогатели.

bart-decryptor.jpg
Утилита, которую разработал Якуб Крустек, определяет пароль путём сравнения файла, над которым уже поработал Bart, и его оригинала. Как правило, это не проблема: хотя бы один из закодированных файлов наверняка сохранился в почте, бэкапах или другом источнике.

После запуска декриптор AVG запрашивает пару файлов для анализа. Кроме того, нужно показать ему, где лежат остальные документы, испорченные трояном-вымогателем. Об остальном программа позаботится сама.


Источник: Появилась утилита, снимающая шифрование трояна-вымогателя Bart - «Хакер»
 
Bart Ransomware в новой версии 2.0 (середина августа) отказался от блокировки файлов своих жертв и сохранения в защищенных паролем ZIP-файлах (.bart.zip). Они теперь на самом деле шифруют файлы и используют расширение .bart для зашифрованных.
Видеоролик.
Источник
 
Назад
Сверху Снизу