Bart勒索软件无需连接C&C服务器就能加密感染设备的文件

据外媒报道,近期,勒索软件开发商Locky推出了一款cryptomalware的变种勒索软件,叫Bart。作为Locky的一款变种软件,Bart的功能跟其前身并无太大差别,不过它可以在不需要连接指挥与控制(C&C)服务器的情况下就能对感染电脑的文件进行加密。据了解,这些网络犯罪团伙通过一个中间恶意软件下载器–Rockloader来传播Bart。

Bart勒索软件无需连接C&C服务器就能加密感染设备的文件

6月24日,来自Proofpoint网络安全公司的研究人员在邮件压缩文件附件检测到了这个不寻常的大型网络活动,其中包含有JavaScript代码。而一旦这些代码开始执行,RockLoader就开始接管电脑,它将会自动将Bart勒索软件下载到感染者的电脑中。

Proofpoint发现,这些恶意软件附件一般都会以文件压缩包的形式出现,它们常用的名字有photos.zip、image.zip、Photos.zip、photo.zip、Photo.zip、picture.zip等。另外,压缩包中还会有一个类似于PDF_123456789.js的文件,用户乍一看以为是一个普通的PDF文件,而实际上它是作为JavaScript代码的一个扩展文件存在。所以很多时候,用户压根儿就没有注意到打开该文件的危险性。

Bart勒索软件无需连接C&C服务器就能加密感染设备的文件

一旦感染Bart之后,用户的电脑背景就会被锁定在恶意软件的锁屏界面,同时还会跳出一个recover.txt的窗口,里边包含有如何关掉该加密的方法–其实目的很明确,给3个比特币(大约为2000美元)就解密。

任何以.mp3、.mp4、.jpg、.jpeg、.mov、.docx、.xlsx、.pptx、.pdf、.zip等后缀结尾的文件都将被犯罪分子锁定。一旦设备被加密,电脑界面就会跳出一个.bart.zip的扩展文件,上面列出了所有受影响的文件。

而在对感染者设备加密之前,Bart会先检测该设备所用语言。据了解,Bart“精通”意大利语、法语、德语、西班牙语。而如果系统语言是俄语、乌克兰语、白俄罗斯语的话,Bart就会终止加密。

目前,Proofpoint还在调查这一勒索软件的技术细节。

发表评论