суббота, 25 июня 2016 г.

Bart

Bart Ransomware

(фейк-шифровальщик в 1-й версии)


(шифровальщик-вымогатель во 2-й версии)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На самом деле файлы помещаются в запароленный архив, а вымогатель работает без предварительного подключения к C&C-серверу. Bart — оригинальное название, данное ему его создателями. Вполне возможно, что в честь Барта Симпсона из мульсериала "Симпсоны". 


Remove Bart Decrypt Bart.zip Decode Restore files Recovery data Удалить Bart Дешифровать Расшифровать Восстановить файлы

  Заблокированные файлы получают расширение .bart.zip. Цели вымогателя: базы данных, документы и их шаблоны, PDF, фотографии, музыка, видео и пр. 
Для открытия файлов bart.zip требуется ввести пароль.


  Записок с требованием выкупа две: текстовая recover.txt (в каждой папке с заблокированными файлами) и recover.bmp (для замены обоев рабочего стола). 

  Для распространения используется спам-кампания с zip-вложениями, содержащими JavaScript-код. При неосторожном запуске содержимого вложения будет загружен и установлен загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем называется "Photos", а вложения могут быть следующие photos.zip, image.zip, Photos.zip, photo.zip, Photo.zip, picture.zip. В архивах находится JavaScript-файл, например, PDF_123456789.js 

  Bart проверяет язык системы и не запускает блокирование файлов, если язык системы пользователя русский, украинский или белорусский. Определив язык, на котором работает система, предлагает соответствующую записку с требованием выкупа на итальянском, французском, немецком и испанском языках. 

Список файловых расширений, подвергающихся блокированию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Уплата выкупа производится на платежном портале Decryptor Bart, который очень похож на тот, который используется Locky. Необходимая информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID". 

Т.к. файлы всё же не шифруются, то Bart Ransomware 1-й версии можно отнести к фейк-шифровальщикам. Но более новые версии уже шифруют файлы. 

Обновление от 18 августа 2016:
Новая версия: Bart 2.0
Новое расширение: .bart (без zip).
Записка с тем же названием, но содержание изменено: recover.txt

Обновление от 18 октября 2016:
Новая версия: Bart 2.5
Новое расширение: .perl (без zip).

Записка с тем же названием, но содержание изменено: recover.txt
Анализы: HA, VT

Степень распространённости: средняя. 
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптер
1. Скачать декриптер для Bart Ransomware >>>
2. Скачать декриптер для Bart Ransomware новых версий >>
Для дешифрования файлов нужно подключение к Интернету. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *