Neue Ransomware „Bart“ verlangt rund 1700 Euro Lösegeld

Sicherheitsforscher von Proofpoint haben eine Ransomware namens „Bart“ entdeckt, die eine neue Verschlüsselungsmethode verwendet und deutlich mehr Lösegeld fordert als bisherige Erpressersoftware. Statt der oft üblichen 0,5 Bitcoin (etwa 300 Euro) verlangen die Hintermänner drei Bitcoin (rund 1700 Euro), um die von dem Trojaner verschlüsselten Daten wieder freizugeben.

Hinter Bart stecken nach Ansicht von Proofpoint dieselben Malware-Autoren wie hinter einigen Varianten der Ransomware Locky. Dafür spreche der Verbreitungsweg, die ähnlich formulierte Lösegeldforderung sowie die nahezu identische Gestaltung des Zahlungsportals, wie die Sicherheitsexperten in einem Blogbeitrag schreiben.

Wie zuvor bei Locky versuchen die Angreifer auch bei Bart, Windows-Nutzer mittels Spam-E-Mails zum Öffnen eines ZIP-Dateianhangs zu bewegen. Sollten unbedarfte Anwender der Aufforderung Folge leisten, wird automatisch die Malware RockLoader heruntergeladen und installiert, die wiederum die eigentliche Ransomware via HTTPS nachlädt.

Der Code von Bart unterscheidet sich Proofpoint zufolge aber deutlich von Locky. So setzt die neue Ransomware zur Verschlüsselung nicht den Advanced Encryption Standard (AES) ein, sondern wandelt Dateien in passwortgeschütze ZIP-Archive um, damit Nutzer keinen Zugriff mehr darauf haben. Auf diese Weise verschlüsselte Dateien tragen die Namenserweiterung „.bart.zip“.

Außerdem muss Bart nicht erst Kontakt zu einem Command-and-Control-Server aufnehmen, um Dateien verschlüsseln zu können. Dadurch ist er nach Angaben von Proofpoint in der Lage, seine Aufgabe auch auf PCs zu erfüllen, die von einer Firewall geschützt sind. Nutzern und Unternehmen bliebe damit nur die Möglichkeit, Bart durch den Einsatz von E-Mail-Richtlinien zur Filterung ausführbarer ZIP-Archive zu blockieren.

Der Erpressertrojaner informiert seine Opfer über die Verschlüsselung der Daten mittels einer Textdatei namens „recover.txt“ in den betroffenen Ordnern und indem er den Desktop-Hintergrund durch die Bitmap-Datei „recover.bmp“ ersetzt. Der Hinweis erfolgt in der für das Betriebssystem gewählten Sprache und liegt in Englisch, Deutsch, Französisch, Italienisch und Spanisch vor. Durch das Ermitteln der Systemsprache vermeidet der Schädling auch eine Infektion von Rechnern russischer, ukrainischer oder weißrussischer Nutzer. Laut Proofpoint sind aktuell vor allem Anwender in den USA betroffen, doch angesichts der lokalisierten Versionen sei Bart für den weltweiten Einsatz vorgesehen. Bisher gibt es noch kein Entschlüsselungswerkzeug, mit dem sich die von Bart verschlüsselten Daten ohne Lösegeldzahlung wiederherstellen lassen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.