Специалисты по безопасности из компаний PhishMe и Proofpoint предупреждают о появлении нового трояна-вымогателя. Вредоносная программа, получившая название Bart, имеет много общего с Locky, но обходится без командного сервера. Это делает его особенно опасным для корпоративных сетей.
Эксперты полагают, что между Locky и Bart есть связь. Оба трояна полагаются на сходные методы распространения, применяют RockLoader и одинаково уведомляют жертву о выкупе. Кроме того, они генерируют подозрительно похожие обои с текстом. Это может объясняться тем, что Bart разработан на базе Locky или, по крайней мере, заимствует у предшественника отдельные элементы.
Для доставки Bart применяются фишинговые письма, к которым прилагается вредоносная программа на Javascript. Она скачивает и запускает дроппер Rockloader, а уже тот загружает и незаметно для пользователя устанавливает сам Bart.
В отличие от многих троянов-вымогателей, Bart не использует сложные криптографические алгоритмы. Вместо этого он упаковывает файлы жертвы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал.
В папках с закодированными файлами троян оставляет текстовый файл recover.txt. Это инструкция, объясняющая жертве, что делать дальше. В ней приведены ссылки на сайт в сети TOR, где можно заплатить выкуп и скачать программу-декодер. Уникальный идентификатор жертвы передаётся на сайт в параметре URL.
Тексты инструкций с требованием выкупа, которые используют Bart и Locky, почти идентичны. Различается только сумма, которую нужно заплатить, чтобы вернуть свои данные. Если Locky просил 0,5 биткоина (около 21 тысячи рублей), то Bart требует 3 биткоина (около 125 тысяч рублей).
На стадии шифрования другие трояны-вымогатели, как правило, связываются с командным сервером. Это может быть необходимо, например, для того, чтобы отправить туда закрытый ключ от файлов жертвы. Но Bart так прост, что не нуждается в сервере. Он прекрасно работает даже без доступа к интернету.
Из этого, в частности, следует, что против Bart бессилен такой метод защиты от троянов-вымогателей, как блокировка доступа к их командным серверам при помощи файрволла. Для защиты корпоративных сетей от новой угрозы специалисты рекомендуют фильтровать электронные письма, к которым приложены исполняемые файлы, сжатые zip.
На первых порах Bart атаковал почти исключительно пользователей из Соединённых Штатов, но исследователи уверены, что международная экспансия неизбежна. Требования выкупа уже переведены на итальянский, французский, испанский и немецкий языки.
Пользователям из России, впрочем, беспокоиться не о чем. Если в качестве системного языка на компьютере жертвы установлен русский, украинский или белорусский, Bart не будет кодировать файлы.