- 383
- 605
- 24 Май 2016
ПОСЛЕДОВАТЕЛЬ ТРОЯНА-ВЫМОГАТЕЛЯ LOCKY ИСПОЛЬЗУЕТ ВМЕСТО КРИПТО ZIP С ПАРОЛЕМ
Специалисты по безопасности из компаний PhishMe и Proofpoint Для просмотра ссылки Войди Эксперты полагают, что между Locky и Bart есть связь. Оба трояна полагаются на сходные методы распространения, применяют RockLoader и одинаково уведомляют жертву о выкупе. Кроме того, они генерируют подозрительно похожие обои с текстом. Это может объясняться тем, что Bart разработан на базе Locky или, по крайней мере, заимствует у предшественника отдельные элементы.
Для доставки Bart применяются фишинговые письма, к которым прилагается вредоносная программа на Javascript. Она скачивает и запускает дроппер Rockloader, а уже тот загружает и незаметно для пользователя устанавливает сам Bart.
В отличие от многих троянов-вымогателей, Bart не использует сложные криптографические алгоритмы. Вместо этого он упаковывает файлы жертвы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал.
Тексты инструкций с требованием выкупа, которые используют Bart и Locky, почти идентичны. Различается только сумма, которую нужно заплатить, чтобы вернуть свои данные. Если Locky просил 0,5 биткоина (около 21 тысячи рублей), то Bart требует 3 биткоина (около 125 тысяч рублей).
Из этого, в частности, следует, что против Bart бессилен такой метод защиты от троянов-вымогателей, как блокировка доступа к их командным серверам при помощи файрволла. Для защиты корпоративных сетей от новой угрозы специалисты рекомендуют фильтровать электронные письма, к которым приложены исполняемые файлы, сжатые zip.
На первых порах Bart атаковал почти исключительно пользователей из Соединённых Штатов, но исследователи уверены, что международная экспансия неизбежна. Требования выкупа уже переведены на итальянский, французский, испанский и немецкий языки.
Пользователям из России, впрочем, беспокоиться не о чем. Если в качестве системного языка на компьютере жертвы установлен русский, украинский или белорусский, Bart не будет кодировать файлы.