Neue Ransomware „Bart“ verlangt rund 1700 Euro Lösegeld

Sicherheitsexperten von Proofpoint vermuten dahinter die Autoren des Erpressertrojaners Locky. Das lege unter anderem der Verbreitungsweg und das nahezu identische Zahlungsportal nahe. Allerdings nutzt Bart eine andere Verschlüsselungsmethode und kann auch durch eine Firewall geschützte Rechner infizieren.

Sicherheitsforscher von Proofpoint haben eine Ransomware namens „Bart“ entdeckt, die eine neue Verschlüsselungsmethode verwendet und deutlich mehr Lösegeld fordert als bisherige Erpressersoftware. Statt der oft üblichen 0,5 Bitcoin (etwa 300 Euro) verlangen die Hintermänner drei Bitcoin (rund 1700 Euro), um die von dem Trojaner verschlüsselten Daten wieder freizugeben.

Hinter Bart stecken nach Ansicht von Proofpoint dieselben Malware-Autoren wie hinter einigen Varianten der Ransomware Locky. Dafür spreche der Verbreitungsweg, die ähnlich formulierte Lösegeldforderung sowie die nahezu identische Gestaltung des Zahlungsportals, wie die Sicherheitsexperten in einem Blogbeitrag schreiben.

Mit diesem Desktop-Hintergrund weist Bart auf die verschlüsselten Daten hin (Bild: Proofpoint).Mit diesem Desktop-Hintergrund weist Bart auf die verschlüsselten Daten hin (Bild: Proofpoint).

Wie zuvor bei Locky versuchen die Angreifer auch bei Bart, Windows-Nutzer mittels Spam-E-Mails zum Öffnen eines ZIP-Dateianhangs zu bewegen. Sollten unbedarfte Anwender der Aufforderung Folge leisten, wird automatisch die Malware RockLoader heruntergeladen und installiert, die wiederum die eigentliche Ransomware via HTTPS nachlädt.

Der Code von Bart unterscheidet sich Proofpoint zufolge aber deutlich von Locky. So setzt die neue Ransomware zur Verschlüsselung nicht den Advanced Encryption Standard (AES) ein, sondern wandelt Dateien in passwortgeschütze ZIP-Archive um, damit Nutzer keinen Zugriff mehr darauf haben. Auf diese Weise verschlüsselte Dateien tragen die Namenserweiterung „.bart.zip“.

HIGHLIGHT

Memory Introspection für den Hypervisor: ein neues Sicherheitsframework für virtualisierte Umgebungen

Von den Mainframes der 1960er-Jahre bis zur gegenwärtigen cloud-orientierten Entwicklung haben sich Rechenzentren enorm gewandelt. Als Anwendungen missionskritisch wurden und Desktopserver in professionelle Rechenzentren umgezogen wurden, nahm die Anzahl physischer Server in den Rechenzentren exponentiell zu.

Außerdem muss Bart nicht erst Kontakt zu einem Command-and-Control-Server aufnehmen, um Dateien verschlüsseln zu können. Dadurch ist er nach Angaben von Proofpoint in der Lage, seine Aufgabe auch auf PCs zu erfüllen, die von einer Firewall geschützt sind. Nutzern und Unternehmen bliebe damit nur die Möglichkeit, Bart durch den Einsatz von E-Mail-Richtlinien zur Filterung ausführbarer ZIP-Archive zu blockieren.

Der Erpressertrojaner informiert seine Opfer über die Verschlüsselung der Daten mittels einer Textdatei namens „recover.txt“ in den betroffenen Ordnern und indem er den Desktop-Hintergrund durch die Bitmap-Datei „recover.bmp“ ersetzt. Der Hinweis erfolgt in der für das Betriebssystem gewählten Sprache und liegt in Englisch, Deutsch, Französisch, Italienisch und Spanisch vor. Durch das Ermitteln der Systemsprache vermeidet der Schädling auch eine Infektion von Rechnern russischer, ukrainischer oder weißrussischer Nutzer. Laut Proofpoint sind aktuell vor allem Anwender in den USA betroffen, doch angesichts der lokalisierten Versionen sei Bart für den weltweiten Einsatz vorgesehen. Bisher gibt es noch kein Entschlüsselungswerkzeug, mit dem sich die von Bart verschlüsselten Daten ohne Lösegeldzahlung wiederherstellen lassen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

1 Kommentar zu Neue Ransomware „Bart“ verlangt rund 1700 Euro Lösegeld

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *