Ransomware Bart umieszcza pliki w chronionych hasłem zasobach ZIP

Pojawiło się nowe, złośliwe oprogramowanie ransomware, które wymusza na użytkownikach komputerów okup nie uciekając się do wyrafinowanych technik szyfrowania danych, a stosując dużo prostszą metodę blokowania dostępu do plików. Polega ona na umieszczaniu plików w chronionych hasłem archiwalnych zasobach ZIP.

Malware nosi nazwę Bart i pod pewnymi względami pracuje podobnie jak złośliwe oprogramowanie Locky. Chodzi o to, że jest rozpowszechniane za pośrednictwem spamów, które umieszczają złośliwy kod w zasobach udających zdjęcia. Spam zawiera załącznik ZIP, który zawiera pliki JavaScript.

Gdy plik taki zostanie uruchomiony, pobiera i od razu otwiera program noszący nazwę RocketLoader, który instaluje właściwe złośliwe oprogramowanie Bart.

Zobacz również:

  • Co trzecia firma w Polsce z cyberincydentem
  • Grupa hakerów LockBit unieszkodliwiona

Większość programów typu ransomware szyfruje lokalne pliki używając do tego celu technologii AES (Advanced Encryption Standard). Oprogramowanie Bart działa inaczej. Skanuje nazwy plików wyszukując takie (poprzez analizowanie ich rozszerzeń), które są dokumentami, obrazami, plikami wideo czy archiwami. Następnie umieszcza je w archiwach ZIP noszących nazwy „original_name.extension.bart.zip”, do których użytkownik może uzyskać dostęp do podaniu hasła. A hasło takie użytkownik komputera może poznać dopiero wtedy, gdy zapłaci hakerowi okup.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200