Neue Ransomware „Bart“ verlangt rund 1700 Euro Lösegeld

Sicherheitsforscher von Proofpoint haben eine Ransomware namens „Bart“ entdeckt, die eine neue Verschlüsselungsmethode verwendet und deutlich mehr Lösegeld fordert als bisherige Erpressersoftware. Statt der oft üblichen 0,5 Bitcoin (etwa 300 Euro) verlangen die Hintermänner drei Bitcoin (rund 1700 Euro), um die von dem Trojaner verschlüsselten Daten wieder freizugeben.

Hinter Bart stecken nach Ansicht von Proofpoint dieselben Malware-Autoren wie hinter einigen Varianten der Ransomware Locky. Dafür spreche der Verbreitungsweg, die ähnlich formulierte Lösegeldforderung sowie die nahezu identische Gestaltung des Zahlungsportals, wie die Sicherheitsexperten in einem Blogbeitrag schreiben.

Mit diesem Desktop-Hintergrund weist Bart auf die verschlüsselten Daten hin (Bild: Proofpoint).

Wie zuvor bei Locky versuchen die Angreifer auch bei Bart, Windows-Nutzer mittels Spam-E-Mails zum Öffnen eines ZIP-Dateianhangs zu bewegen. Sollten unbedarfte Anwender der Aufforderung Folge leisten, wird automatisch die Malware RockLoader heruntergeladen und installiert, die wiederum die eigentliche Ransomware via HTTPS nachlädt.

Der Code von Bart unterscheidet sich Proofpoint zufolge aber deutlich von Locky. So setzt die neue Ransomware zur Verschlüsselung nicht den Advanced Encryption Standard (AES) ein, sondern wandelt Dateien in passwortgeschütze ZIP-Archive um, damit Nutzer keinen Zugriff mehr darauf haben. Auf diese Weise verschlüsselte Dateien tragen die Namenserweiterung „.bart.zip“.

Außerdem muss Bart nicht erst Kontakt zu einem Command-and-Control-Server aufnehmen, um Dateien verschlüsseln zu können. Dadurch ist er nach Angaben von Proofpoint in der Lage, seine Aufgabe auch auf PCs zu erfüllen, die von einer Firewall geschützt sind. Nutzern und Unternehmen bliebe damit nur die Möglichkeit, Bart durch den Einsatz von E-Mail-Richtlinien zur Filterung ausführbarer ZIP-Archive zu blockieren.

Der Erpressertrojaner informiert seine Opfer über die Verschlüsselung der Daten mittels einer Textdatei namens „recover.txt“ in den betroffenen Ordnern und indem er den Desktop-Hintergrund durch die Bitmap-Datei „recover.bmp“ ersetzt. Der Hinweis erfolgt in der für das Betriebssystem gewählten Sprache und liegt in Englisch, Deutsch, Französisch, Italienisch und Spanisch vor. Durch das Ermitteln der Systemsprache vermeidet der Schädling auch eine Infektion von Rechnern russischer, ukrainischer oder weißrussischer Nutzer. Laut Proofpoint sind aktuell vor allem Anwender in den USA betroffen, doch angesichts der lokalisierten Versionen sei Bart für den weltweiten Einsatz vorgesehen. Bisher gibt es noch kein Entschlüsselungswerkzeug, mit dem sich die von Bart verschlüsselten Daten ohne Lösegeldzahlung wiederherstellen lassen.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago