Приложение-вымогатель Bart блокирует файлы в виде защищённых паролем архивов ZIP

После возвращения в строй ботнета Necurs и его главной угрозы в виде приложения-вымогателя Locky эксперты обнаружили новое приложение, распространяемое в процессе каждодневных операций. Приложение-вымогатель под названием Bart (назван по добавляемому к зашифрованным файлам расширению) не такой сложный, как Locky, но имеет определённое сходство. Из-за этого сходства и распространения в той же сети, что и Locky, исследователи говорят о том, что авторы у них одни и те же. Специалисты из компаний PhishMe, Proofpoint и ряда других заметили ряд интересных особенностей.

Bart и Locky распространяются в виде спама по электронной почте, в письмах содержатся вложения в виде архива ZIP, а после распаковки обнаруживается вредоносный файл на JavaScript. Его запуск скачивает промежуточное вредоносное приложение RockLoader, которое затем скачивает Bart. Locky также использует RockLoader при распространении.

Далее Bart начинает проявлять свои отличительные черты. Например, программа работает без установки связи с сервером. Процесс шифрования файлов происходит локально и доступ в Интернет не требуется. Вместо шифрования Bart помещает файлы в архивы ZIP и ставит на них пароли. Файл вроде image.jpeg превращается в image.jpeg.bart.zip. Всего приложение работает с файлами 159 типов. После завершения процесса блокировки Bart отправляет сообщение о выкупе в виде текстового файла в каждой папке с заблокированными файлами и меняет обои на рабочем столе. Записка и обои те же, что и у Locky.

Авторы требуют огромную сумму в размере 3 биткоинов (около $1800) для возвращения доступа к файлам. Пользователь получает ID и должен зайти на определённый портал для оплаты и получения дешифратора. Этот портал является копией портала для платежей Locky.