Бот-мрежата Necurs, която разпространяваше вируса-изнудвач Locky неочаквано спря работа за няколко дни, сега се активира отново и започна да разпространява нов вирус, който блокира потребителските файлове. Рансъмуерът
Bart, наречен така понеже дава това разширение на файловете, не е толкова сложен като Locky, но приликите са много. Вирусните експерти от PhishMe, Proofpoint и други публикуваха особеностите на новия вирус.
[You must be registered and logged in to see this image.]Bart и Locky се разпространяват като спам в електронната поща, като в писмата има прикачен ZIP архив, който при съдържа вредоносен файл, написан на JavaScript. Този файл от своя страна след разархивиране и активиране изтегля междинното приложение
RockLoader, което изтегля Bart. Locky също използва RockLoader за своето разпространяване.
[You must be registered and logged in to see this image.]Bart обаче няма нужда от онлайн-връзка с външен сървър. Шифрирането на файловете става локално и не е необходим достъп до интернет. Вместо директно да шифрова файловете Bart ги компресира във вид на ZIP-архиви с парола. Така например файлът image.jpeg се превръща в image.jpeg.bart.zip. Рансъмуерът разпознава 159 вида файлови разширения. След като блокира всичко възможно, Bart извежда съобщение за откуп във вид на текстов файл във всяка папка и сменя тапета на десктопа. Съобщението и тапета са същите като при Locky.
[You must be registered and logged in to see this image.]Създателите на Bart искат като откуп сериозната сума от 3 биткойна (около
$1800) за връщане на достъпа до блокираните файлове.
/kaldata.com