Bart - novi ransomware od tvoraca Lockyja

Širi se kroz phishing email, obično poruka nosi naslov Photos i sadrži ZIP attachemt pod imenom Photos.zip, Photo.zip, image.zip, ili picture.zip

Bart - novi ransomware od tvoraca Lockyja

Nova varijanta ransomware-a se pojavila u junu 2016. Šuška se da je to kreacija autora ozloglašenog Locky ransomware-a. Preporučuje se oprez!

Bart i Locky imaju puno sličnosti, ali i dve jasne razlike. Prva razlika je u načinu na koji Bart zaključava fajlove. Umesto da koristi jaku asimetričnu enkripciju, poput većine ransomware-a, Bart premešta fajlove u zipovane arhive, od kojih je svaka zaštićena šifrom. Druga razlika je što Bart ne koristi C&C servere, već koristi jedinstveni identifikacioni kod za svaku žrtvu koji se šalje napadačima tokom isplate.

Ono što najočiglednije povezuje Bart i Locky je način distribucije ransomware-a koji se obavlja preko Rockloader-a. Rockloader je Locky-jev downloader.

Bart je otkriven u više imejl phishing kampanja. Obično poruka sadrži naslov Photos i ZIP attachemt pod imenom Photos.zip, Photo.zip, image.zip, ili picture.zip.

Bart ransomware email

Širi se brzo, a uglavnom su mete SAD, Nemačka, Francuska i UK. Bart se ne aktivira ukoliko prepozna da je jezik sistema ruski, ukrajinski ili beloruski. Jedna od najuznemirujućih činjenica vezanih za Bart je otkupnina koju napadači traže - čak 3 bitcoina ($2043 po kursu za 01.jul).

Važno je napomenuti i to da ovaj ransomware ne izvršava nikakvu komunikaciju sa mrežom, tako da nije potrebna internet konekcija da bi se računar inficirao.

Bart Decryptor

Bart ransom poruka sadrži jedinstveni ID koji je povezan sa računarom žrtve i sa linkom ka sajtu za plaćanje na TOR-u. Sajt se zove Decryptor Bart Page i sadrži informacije o tome kako kupiti bitcoine, iznosu otkupnine i adresi na koju treba poslati bitcoine.

Više informacija o Bart ransomware-u možete pronaći o bleepingcomputer.com