SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,875
- Решения
- 1
- Реакции
- 6,505
Bart Ransomware: Фейк-шифровальщик
Создатели Dridex 220 и Locky Affid=3 запустили новый вымогатель Bart. Они используют загрузчик RockLoader для доставки Bart. Он имеет экран оплаты как у Locky, но блокирует (не шифрует) файлы без предварительного подключения к C&C-серверу.
Вчера исследователи Proofpoint обнаружили большую спам-кампанию с zip-вложениями, содержащими JavaScript-код. При запуске содержимого будет загружается и устанавливается загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем "Photos", вложениями могут быть photos.zip, image.zip, picture.zip и т.п. В этих архивах находится JavaScript-файл, например, такой PDF_123456789.js
Для информирования жертвы создается два типа файлов. Записка о выкупе recover.txt размещается в папках с заблокированными файлами, а файл изображения recover.bmp ставится в качестве обоев рабочего стола.
Перед началом работы вредонос определяет язык системы пользователя. Bart прекращает работу, если язык системы пользователя определен как русский, украинский или белорусский и, определив язык, на котором работает система, предлагает записку с требованием выкупа на итальянском, французском, немецком и испанском языках. Английский используется по умолчанию.
К заблокированным файлам добавляется расширение .bart.zip.
Целевые расширения (наиболее важные выделены прописными буквами):
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, . nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .PDF, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .RAR, .raw, .RTF, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ZIP... Возможно, даже больше.
Для уплаты выкупа жертве предлагается посетить платежный портал, чтобы заплатить 3 Bitcoins (около $ 2000 по текущему обменному курсу). Платежный портал Decryptor Bart похож на тот, который используется Locky, только название другое. Информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID".
Создатели Dridex 220 и Locky Affid=3 запустили новый вымогатель Bart. Они используют загрузчик RockLoader для доставки Bart. Он имеет экран оплаты как у Locky, но блокирует (не шифрует) файлы без предварительного подключения к C&C-серверу.
Вчера исследователи Proofpoint обнаружили большую спам-кампанию с zip-вложениями, содержащими JavaScript-код. При запуске содержимого будет загружается и устанавливается загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем "Photos", вложениями могут быть photos.zip, image.zip, picture.zip и т.п. В этих архивах находится JavaScript-файл, например, такой PDF_123456789.js
Для информирования жертвы создается два типа файлов. Записка о выкупе recover.txt размещается в папках с заблокированными файлами, а файл изображения recover.bmp ставится в качестве обоев рабочего стола.
Перед началом работы вредонос определяет язык системы пользователя. Bart прекращает работу, если язык системы пользователя определен как русский, украинский или белорусский и, определив язык, на котором работает система, предлагает записку с требованием выкупа на итальянском, французском, немецком и испанском языках. Английский используется по умолчанию.
К заблокированным файлам добавляется расширение .bart.zip.
Целевые расширения (наиболее важные выделены прописными буквами):
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, . nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .PDF, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .RAR, .raw, .RTF, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ZIP... Возможно, даже больше.
Для уплаты выкупа жертве предлагается посетить платежный портал, чтобы заплатить 3 Bitcoins (около $ 2000 по текущему обменному курсу). Платежный портал Decryptor Bart похож на тот, который используется Locky, только название другое. Информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID".
