據外媒報道,近期,勒索軟件開發商Locky推出了一款cryptomalware的變種勒索軟件,叫Bart。作為Locky的一款變種軟件,Bart的功能跟其前身并無太大差別,不過它可以在不需要連接指揮與控制(C&C)服務器的情況下就能對感染電腦的文件進行加密。據了解,這些網絡犯罪團伙通過一個中間惡意軟件下載器--Rockloader來傳播Bart。
6月24日,來自Proofpoint網絡安全公司的研究人員在郵件壓縮文件附件檢測到了這個不尋常的大型網絡活動,其中包含有JavaScript代碼。而一旦這些代碼開始執行,RockLoader就開始接管電腦,它將會自動將Bart勒索軟件下載到感染者的電腦中。
Proofpoint發現,這些惡意軟件附件一般都會以文件壓縮包的形式出現,它們常用的名字有photos.zip、image.zip、Photos.zip、photo.zip、Photo.zip、picture.zip等。另外,壓縮包中還會有一個類似于PDF_123456789.js的文件,用戶乍一看以為是一個普通的PDF文件,而實際上它是作為JavaScript代碼的一個擴展文件存在。所以很多時候,用戶壓根兒就沒有注意到打開該文件的危險性。
一旦感染Bart之后,用戶的電腦背景就會被鎖定在惡意軟件的鎖屏界面,同時還會跳出一個recover.txt的窗口,里邊包含有如何關掉該加密的方法--其實目的很明確,給3個比特幣(大約為2000美元)就解密。
任何以.mp3、.mp4、.jpg、.jpeg、.mov、.docx、.xlsx、.pptx、.pdf、.zip等后綴結尾的文件都將被犯罪分子鎖定。一旦設備被加密,電腦界面就會跳出一個.bart.zip的擴展文件,上面列出了所有受影響的文件。
而在對感染者設備加密之前,Bart會先檢測該設備所用語言。據了解,Bart“精通”意大利語、法語、德語、西班牙語。而如果系統語言是俄語、烏克蘭語、白俄羅斯語的話,Bart就會終止加密。
目前,Proofpoint還在調查這一勒索軟件的技術細節。
京公網安備 11010502049343號