有網絡安全公司發現,勒索軟件 Locky 的開發者製作了新的勒索軟件 Bart。該款勒索軟件最大的特色是,它是利用下載器來安裝,攻擊時亦不像其他勒索軟件般會連接 C&C 伺服器。
Proofpoint 指勒索軟件 Bart 透過垃圾電郵傳播,並帶有 zip 附件,內裡是 JavaScript 檔案。電郵的標題為 Photos ,附件檔案名稱為「photos.zip」、「 image.zip」、「Photos.zip」、「photo.zip」、「Photo.zip」或 「picture.zip」其中一個。壓縮檔內的 js 檔案名稱類似「PDF_123456789.js」,讓一般人以為這是 PDF 檔案。
執行後,惡意下載器 Rockloader 就會下載和安裝,然後 Bart 就會透過 Rockloader 安裝。Bart 加密時無需連接 C&C 伺服器,與其他勒索軟件不同。
受害人的檔案加密後,副檔名會改為 .bart.zip,並要求 3 bitcoin 贖金;此外 Bart 會把桌面背景換成下圖的勒索通知 recover.bmp,亦會在多個文件夾放置 recover.txt 檔案。不過如果用戶的系統語言是俄羅斯、烏克蘭和白俄羅斯語,Bart 就會「放你一馬」。
研究人員指出,Bart 和 Locky 的程式碼十分不同,但兩者仍有關係,因為用來存放 Rockloader 的伺服器也有存放 Locky,而且勒索通知的行文十分相似;Bart 和 Locky 的付款站亦近乎一樣,只有標題 「Decryptor Bart」 與 「Locky Decrptor」 不同。
Source : Proofpoint