Bart Ransomware
O Bart Ransomware é um ransomware Trojan que tem sido associado às mesmas pessoas responsáveis por criar e distribuir ameaças tais como o Locky e o Dridex. O Bart Ransomware é conhecido por este nome por causa de suas referências ao famoso personagem da série animada Os Simpsons. O Bart Ransomware está sendo instalado nos computadores das vítimas usando o RockLoader para instalar o Bart Ransomware no HTTPS. O Bart Ransomware tem uma tela de pagamento que é muito semelhante ao Locky mas tem a capacidade de criptografar arquivos sem a necessidade de se conectar a um servidor de Comando e Controle.
Os Usuários de PC Infectados Podem Perder Arquivos Preciosos
Os analistas de segurança do PC notaram uma grande campanha de ameaças em 24 de junho. Essa série de ataques de ameaças envolveram grandes quantidades de mensagens de e-mail contendo anexos corrompidos na forma de arquivos ZIP. Esses arquivos ZIP pareciam conter um conteúdo corrompido do JavaScript. Quando aberto, o anexo pode baixar e instalar imediatamente o RockLoader no computador da vítima. Esse instalador de ameaças já tinha sido observado em outros ataques de ransomware, no Locky em particular. Essa ameaça baixa e instala o Bart Ransomware. As mensagens corrompidas de email associadas à campanha de ameaça do Bart Ransomware tendem a fazer as vítimas acreditarem que o e-mail contém 'fotos', 'imagens', ou conteúdo similar, projetado para parecer um inocente e-mail de um amigo contendo fotos. Este efeito é especialmente eficaz quando o e-mail é enviado de um computador pertencente a um dos contatos de e-mail da vítima, que pode ter sido comprometido anteriormente.
Durante o ataque, o Bart Ransomware alerta a vítima sobre o ataque, criando dois arquivos diferentes, um de imagem e um de texto. Esses arquivos são chamados 'recover' e estão nos formatos BMP e TXT. O arquivo de imagem BMP é deixado na área de trabalho da vítima e é usado para alterar a imagem do papel de parede da vítima. O Bart Ransomware detecta o idioma do computador afetado e exibe as notas de resgate na linguagem correspondente. Aparentemente, o Bart Ransomware traduziu versões de sua nota de resgate para o italiano, o alemão, o francês e o espanhol (bem como para o inglês). Ao verificar a língua da vítima, o Bart Ransomware vai evitar infectar computadores localizados na Rússia, Ucrânia ou Bielorussia. Isso faz com que o ataque do Bart Ransomware seja bastante específico e aparentemente projetado para atacar os usuários de computador que moram nos Estados Unidos, evitando, na maior parte, os usuários de computador em países de língua russa.
As extensões de arquivo que o Bart Ransomware procura no computador infectado incluem:
.123 | .3dm | .3ds | .3g2 | .3gp | .602 | .aes | .ARC | .asc | .asf | .asm | .asp | .avi | .bak | .bat | .bmp | .brd | .cgm | .cmd | .cpp | .crt | .csr | .CSV | .dbf | .dch | .dif | .dip | .djv | .djvu | .DOC | .docb | .docm | .docx | .DOT | .dotm | .dotx | .fla | .flv | .frm | .gif | .gpg | .hwp | .ibd | .jar | .java | .jpeg | .jpg | .key | .lay | .lay6 | .ldf | .m3u | .m4u | .max | .mdb | .mdf | .mid | .mkv | .mov | .mp3 | .mp4 | .mpeg | .mpg | .ms11 | .MYD | .MYI | .NEF | .odb | .odg | .odp | .ods | .odt | .otg | .otp | .ots | .ott | .p12 | .PAQ | .pas | .pdf | .pem | .php | .png | .pot | .potm | .potx | .ppam | .pps | .ppsm | .ppsx | .PPT | .pptm | .pptx | .psd | .rar | .raw | .RTF | .sch | .sldm | .sldx | .slk | .stc | .std | .sti | .stw | .svg | .swf | .sxc | .sxd | .sxi | .sxm | .sxw | .tar | .tbk | .tgz | .tif | .tiff | .txt | .uop | .uot | .vbs | .vdi | .vmdk | .vmx | .vob | .wav | .wb2 | .wk1 | .wks | .wma | .wmv | .xlc | .xlm | .XLS | .xlsb | .xlsm | .xlsx | .xlt | .xltm | .xltx | .xlw | .zip.
O Bart Ransomware criptografa todos os arquivos com essas extensões. O Bart Ransomware exige o pagamento de três BitCoins, aproximadamente 2000 dólares, através de um site de pagamento muito similar àquele usado pelo Locky Ransomware.
