Business Security, Verschlüsselung & Datensicherheit

Vorsicht vor "Bart" - neue Erpresser-Software entdeckt

Vorsicht vor "Bart" - neue Erpresser-Software entdeckt
Neue Erpresser-Software namens „Bart“ entdeckt

Sicherheitsexperten aus dem Hause Proofpoint sind einer neuen Ransomware — mit dem Namen Bart — auf die Spur gekommen. Die Vorgehensweise dieser Malware ähnelt stark der Ransomware Locky. Allerdings ist die Lösegeldforderung deutlich höher. Noch schlimmer aber ist...

Für „Bart“ gibt es bisher noch kein Entschlüsselungswerkzeug

Die Entwickler der Ransomware Bart, vermutet Proofpoint, stecken auch hinter Locky und Dridex. Der Verbreitungsweg, das geradezu einheitlich gestaltete Zahlungsportal, sowie eine ähnlich formulierte Lösegeldforderung geben eindeutige Hinweise darauf, dass hier dieselben Hacker am Werk sind. Einziger Unterschied ist die Höhe der geforderten Lösegeldsumme. Wie bei Locky bisher üblich liegt der Betrag, den die Hacker von den geschädigten Nutzern verlangen, bei etwa 300 Euro. Bart aber verlangt 1.700 Euro für die Freigabe der zuvor verschlüsselten Daten.

Bart verbreitet sich über Spam-E-Mails mit ZIP-Dateien im Anhang, die unter keinen Umständen geöffnet werden dürfen! Die Mail selbst erscheint unspektakulär. Die Dateien im Anhang tragen oft die Bezeichnung "photo.zip", "photos.zip", "image.zip" oder "picture.zip" (siehe Grafik unten). Die ZIP-Datei aber enthält keine Bilder sondern eine JavaScript-Datei. Öffnet man den ZIP-Ordner wird automatisch die RockLoader-Malware installiert. RockLoader lädt dann im Hintergrund via https die eigentliche Ransomware Bart nach.

„Bart“ versteckt sich im Anhang von Spam-Mails
„Bart“ versteckt sich im Anhang von Spam-Mails, Quelle: www.proofpoint.com

„Bart“ war bisher nur in den USA aktiv

Wurde die infizierte Datei geöffnet, ist es zu spät. Der Trojaner informiert sein Opfer über die Verschlüsselung der Daten mit einer Textdatei, die den Namen „recover.txt“ trägt. Diese steckt in den betroffenen Ordnern. Der Bildschirmhintergrund wird ebenfalls ersetzt (siehe Grafik unten).

Mit diesem Bildschirmhintergrund informiert „Bart“ sein Opfer über die Verschlüsselung der Daten
Mit diesem Bildschirmhintergrund informiert „Bart“ sein Opfer über die Verschlüsselung der Daten, Quelle: www.proofpoint.com

Je nach im Betriebssystem eingestellter Sprache erfolgt der Hinweis auf English, Deutsch, Französisch, Italienisch oder Spanisch. Wie auch zdnet.de berichtet, wird vermutet, dass durch das Ermitteln der Spracheinstellungen im Betriebssystem sichergestellt werden soll, dass Rechner russischer, ukrainischer oder weißrussischer Nutzer nicht infiziert werden. Die meisten Opfer von Bart kommen aktuell noch aus den USA. Wegen der unterschiedlichen Sprachversionen ist Bart aber weltweit einsatzfähig. Da es bisher auch kein Entschlüsselungswerkzeug gibt, mit dem die verschlüsselten Daten wiederhergestellt werden können, raten wir zu erhöhter Aufmerksamkeit. Spam-Mails unbekannter Herkunft mit suspekten Dateien im Anhang dürfen niemals geöffnet werden. Löschen Sie solche Mails umgehend. Weitere Tipps zum Schutz vor Ransomware finden Sie hier.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben