O Bart Ransomware Cria Arquivos ZIP Protegidos por Senha ao Invés de Usar a Criptografia Comum
Como esperado, o novo ransomware evoluiu para introduzir métodos criativos para espalhar sua carga útil no maior número possível de computadores. Nesse sentido, os autores do Bart ransomware criaram uma maneira de criar arquivos ZIP protegidos por senha em vez de executar o método comum de criptografar arquivos em um computador infectado.
O Bart Ransomware está entre os mais recentes malwares que usam técnicas agressivas, as quais mantêm um PC infectado por uma taxa de resgate, bloqueando sua operação através da manipulação de arquivos. A diferença significativa entre o ransomware Bart e o tipo de criptografia mais recente ameaça sua função principal de bloquear arquivos em arquivos ZIP protegidos por senha, em vez de criptografar arquivos. Além disso, o Bart ransomware usa os métodos de distribuição semelhantes aos do Locky Ransomware, onde usa email de spam para entregar um arquivo ZIP que carrega um arquivo JS malicioso quando é descompactado.
O arquivo JS incluído no arquivo ZIP do Bart ransomware é aquele que baixa o RockLoader, um aplicativo malicioso que baixa o ransomware Bart. Assim como o Locky, o Bart ransomware é baixado e inicializado diretamente do arquivo JS. Outro aspecto que diferencia o Bart ransomware de seu suposto antecessor Locky, é a capacidade de trabalhar off-line, onde não é necessário um servidor de comando e controle para negociar um processo de criptografia, porque não obtém sucesso na criptografia de arquivos para colocar um resgate no computador Comercial.
Você pode pensar no Bart ransomware como um guarda da prisão desonesto, que trava arquivos dentro de um cofre e detém a chave para desbloqueá-lo por uma taxa substancial de resgate. O cofre nesse caso é o arquivo ZIP que Bart mascara arquivos em um tipo específico, um dos 159 tipos de arquivos diferentes. Bart usa até 159 tipos de arquivos diferentes; alguns podem ser renomeados para image.jpg.bart.zip, onde o arquivo original foi nomeado como image.jpeg.
Para encerrar as diferenças do Bart ransomware, ele pede que os usuários de computador vítimas de pagamento paguem uma taxa de resgate de 3 Bitcoin, o que equivale a cerca de US $1.800. Vimos muitos casos de ransomware surgirem de suas formas conservadoras e começarem a cobrar taxas substanciais de resgate que acabam custando aos usuários de computador mais de US $1.000. A parte interessante do problema é que alguns usuários de computadores pagam a taxa, mesmo com US $1.800, porque desejam restaurar a funcionalidade do computador e não correm o risco de perder todos os dados e arquivos insubstituíveis. Quem paga a taxa pode não ter um backup viável de seu sistema, o que os deixa à mercê do ransomware e de seus autores.
Por enquanto, o Bart ransomware não possui um decodificador nem um método para liberar arquivos bloqueados nos arquivos ZIP em um computador infectado. No entanto, ainda é necessário verificar se uma senha universal está disponível para desbloquear arquivos ZIP para liberar arquivos, devido ao Bart ransomware adicionar uma senha para proteger cada arquivo compactado individualmente.
A extensa notificação de Bart ransomware exibida após a infecção é aquela que tenta oferecer aos usuários de computador vitimados várias opções de compra de Bitcoins, o que é uma raridade entre o ransomware. Acreditamos que, à medida que o ransomware evolui, os autores começarão a oferecer instruções detalhadas e métodos alternativos para a compra de Bitcoins para tornar o processo de pagamento de taxas de resgate mais rápido e fácil. É uma vitória para os autores de ransomware.