Bart – новое вымогательское ПО от создателей Dridex и Locky

Киберпреступники, стоящие за распространением вредоносного ПО Dridex и Locky, взяли на вооружение новый троян-шифровальщик под названием Bart. Как сообщают эксперты Proofpoint, экран с требованием выкупа у Bart такой же, как у Locky. Тем не менее, в отличие от последнего новый вымогатель шифрует файлы на компьютере жертвы, не подключаясь предварительно к C&C-серверу. Благодаря этому он способен шифровать файловые системы Windows в обход корпоративных межсетевых экранов, как правило, блокирующих подобный вредоносный трафик.

Bart загружается на компьютер жертвы по HTTPS-протоколу с помощью вредоносного ПО RockLoader, также использующегося для распространения Locky. Загрузчик попадает на систему жертвы через электронное письмо с прикрепленным ZIP-файлом, содержащим вредоносный JavaScript-код. В теме письма значится «Photos», а имя прикрепленного файла photos.zip. После его открытия на систему устанавливается дроппер RockLoader, который затем загружает и устанавливает Bart.

Прежде чем предоставить инструкцию по уплате выкупа и расшифровки файлов, вредонос определяет язык системы. Если язык системы русский, украинский или белорусский, Bart остается бездейственным. Инструкции по уплате доступны на немецком, итальянском, испанском и французском языках. Размер выкупа за расшифровку файлов составляет три биткойна (около 127 тыс. руб. согласно курсу на 28.06.2016).