Специалисты по безопасности из компаний PhishMe и Proofpoint предупреждают о появлении нового трояна-вымогателя. Вредоносная программа, получившая название Bart, имеет много общего с Locky, но обходится без командного сервера. Это делает его особенно опасным для корпоративных сетей.

Эксперты полагают, что между Locky и Bart есть связь. Оба трояна полагаются на сходные методы распространения, применяют RockLoader и одинаково уведомляют жертву о выкупе. Кроме того, они генерируют подозрительно похожие обои с текстом. Это может объясняться тем, что Bart разработан на базе Locky или, по крайней мере, заимствует у предшественника отдельные элементы.

Для доставки Bart применяются фишинговые письма, к которым прилагается вредоносная программа на Javascript. Она скачивает и запускает дроппер Rockloader, а уже тот загружает и незаметно для пользователя устанавливает сам Bart.

В отличие от многих троянов-вымогателей, Bart не использует сложные криптографические алгоритмы. Вместо этого он упаковывает файлы жертвы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал.

Unknown-2

В папках с закодированными файлами троян оставляет текстовый файл recover.txt. Это инструкция, объясняющая жертве, что делать дальше. В ней приведены ссылки на сайт в сети TOR, где можно заплатить выкуп и скачать программу-декодер. Уникальный идентификатор жертвы передаётся на сайт в параметре URL.

Тексты инструкций с требованием выкупа, которые используют Bart и Locky, почти идентичны. Различается только сумма, которую нужно заплатить, чтобы вернуть свои данные. Если Locky просил 0,5 биткоина (около 21 тысячи рублей), то Bart требует 3 биткоина (около 125 тысяч рублей).

Unknown-3

На стадии шифрования другие трояны-вымогатели, как правило, связываются с командным сервером. Это может быть необходимо, например, для того, чтобы отправить туда закрытый ключ от файлов жертвы. Но Bart так прост, что не нуждается в сервере. Он прекрасно работает даже без доступа к интернету.

Из этого, в частности, следует, что против Bart бессилен такой метод защиты от троянов-вымогателей, как блокировка доступа к их командным серверам при помощи файрволла. Для защиты корпоративных сетей от новой угрозы специалисты рекомендуют фильтровать электронные письма, к которым приложены исполняемые файлы, сжатые zip.

Unknown-4

На первых порах Bart атаковал почти исключительно пользователей из Соединённых Штатов, но исследователи уверены, что международная экспансия неизбежна. Требования выкупа уже переведены на итальянский, французский, испанский и немецкий языки.

Пользователям из России, впрочем, беспокоиться не о чем. Если в качестве системного языка на компьютере жертвы установлен русский, украинский или белорусский, Bart не будет кодировать файлы.



Оставить мнение