Исследователи из PhishMe и Proofpoint обнаружили нового Windows-шифровальщика, который отличается от своих собратьев тем, что работает автономно, присваивая жертве персональный идентификатор. Также Bart, как его именуют создатели, примечателен тем, что не применяет собственные алгоритмы шифрования, а попросту архивирует целевые файлы, защищая итоговые .zip паролем. Стиль сообщения с требованием выкупа и интерфейс, предлагаемый для совершения платежа, очень похожи на используемые Locky, но, в отличие от своего предшественника, Bart требует более высокую плату — 3 биткойна (около $2 тыс.), тогда как операторы Locky взимают 0,5 BTC.

Первые спам-письма, нацеленные на распространение Bart, исследователи обнаружили 24 июня. Все они снабжены темой Photos и zip-вложением, которое содержит JavaScript-файл. В результате выполнения скрипта (средствами Windows) на машину загружается RockLoader — недавно объявившийся даунлоудер, который минувшей весной, по свидетельству Proofpoint, активно использовался для загрузки Locky и Dridex. Этот посредник и доставляет жертве целевого вымогателя, загружая его по HTTPS со своего сервера. На этом веб-сервере помимо Bart исследователи из Proofpoint обнаружили также файлы Locky и Dridex, что тоже может свидетельствовать о взаимосвязи всех этих киберкампаний.

Новобранец архивирует и запароливает файлы жертвы, отыскивая их на жестких дисках. По свидетельству исследователей, внушительный список расширений, которым оперирует Bart, обычен для таких зловредов. Тем не менее эксперты PhishMe отметили одно характерное отличие: в числе прочих новый вымогатель ищет файлы формата .n64 (Nintendo 64 Emulation ROM Image Format), которые кроме него шифрует лишь Locky.

Зашифрованным файлам присваивается двойное расширение .bart.zip, с сохранением полного имени оригинала. По окончании шифрования Bart создает файлы recover.txt и recover.bmp с требованием выкупа и персональным ID жертвы; первый добавляется во все папки с зашифрованными файлами, второй используется для отображения сообщения в виде обоев на рабочем столе.

По умолчанию это сообщение воспроизводится на английском языке, но Bart также способен переводить его на итальянский, французский, немецкий и испанский. Для этого зловред прежде всего определяет язык операционной системы; примечательно, что русский, украинский и белорусский языки, похоже, включены в некий стоп-лист, так как в этих случаях шифрования файлов не происходит.

Для уплаты выкупа жертве предлагается пройти по одной из onion-ссылок; на сайте, к которому они привязаны, содержится вся информация, необходимая для проведения платежа. Хотя в сообщении злоумышленников говорится о выкупе приватного ключа, якобы хранящегося на секретном сервере, исследователи не обнаружили в Bart какого-либо механизма для коммуникаций с C&C. Сведения о жертве, видимо, передаются на платежный сервер в ID-параметре URL.

В первые часы Bart-кампании исследователи из PhishMe зафиксировали более 5,6 тыс. жертв по всему миру. Наибольшее количество заражений было обнаружено в США, Германии, Франции и Великобритании.

По данным Bleeping Computer, возможности бесплатно расшифровать файлы, полоненные Bart, в настоящее время нет. Тем не менее, как отметил в своем комментарии на BleepingComputer.com известный аналитик Лучан Константин (Lucian Constantin), предпосылки для создания декриптора имеются. Во-первых, ZIP поддерживает AES-шифрование, и зловред наверняка использует именно эту возможность. Во-вторых, Bart применяет пароли, которые или статичны, или генерируются на месте — вероятнее всего, на основе ID жертвы. Реверс-инжиниринг кода в обоих случаях мог бы выявить используемый алгоритм и помочь в решении проблемы бесплатной расшифровки.

Категории: Аналитика, Вредоносные программы, Главное