Sicherheitsforscher von Proofpoint haben eine Ransomware namens „Bart“ entdeckt, die eine neue Verschlüsselungsmethode verwendet und deutlich mehr Lösegeld fordert als bisherige Erpressersoftware. Statt der oft üblichen 0,5 Bitcoin (etwa 300 Euro) verlangen die Hintermänner drei Bitcoin (rund 1700 Euro), um die von dem Trojaner verschlüsselten Daten wieder freizugeben.
Hinter Bart stecken nach Ansicht von Proofpoint dieselben Malware-Autoren wie hinter einigen Varianten der Ransomware Locky. Dafür spreche der Verbreitungsweg, die ähnlich formulierte Lösegeldforderung sowie die nahezu identische Gestaltung des Zahlungsportals, wie die Sicherheitsexperten in einem Blogbeitrag schreiben.
Wie zuvor bei Locky versuchen die Angreifer auch bei Bart, Windows-Nutzer mittels Spam-E-Mails zum Öffnen eines ZIP-Dateianhangs zu bewegen. Sollten unbedarfte Anwender der Aufforderung Folge leisten, wird automatisch die Malware RockLoader heruntergeladen und installiert, die wiederum die eigentliche Ransomware via HTTPS nachlädt.
Der Code von Bart unterscheidet sich Proofpoint zufolge aber deutlich von Locky. So setzt die neue Ransomware zur Verschlüsselung nicht den Advanced Encryption Standard (AES) ein, sondern wandelt Dateien in passwortgeschütze ZIP-Archive um, damit Nutzer keinen Zugriff mehr darauf haben. Auf diese Weise verschlüsselte Dateien tragen die Namenserweiterung „.bart.zip“.
Außerdem muss Bart nicht erst Kontakt zu einem Command-and-Control-Server aufnehmen, um Dateien verschlüsseln zu können. Dadurch ist er nach Angaben von Proofpoint in der Lage, seine Aufgabe auch auf PCs zu erfüllen, die von einer Firewall geschützt sind. Nutzern und Unternehmen bliebe damit nur die Möglichkeit, Bart durch den Einsatz von E-Mail-Richtlinien zur Filterung ausführbarer ZIP-Archive zu blockieren.
Der Erpressertrojaner informiert seine Opfer über die Verschlüsselung der Daten mittels einer Textdatei namens „recover.txt“ in den betroffenen Ordnern und indem er den Desktop-Hintergrund durch die Bitmap-Datei „recover.bmp“ ersetzt. Der Hinweis erfolgt in der für das Betriebssystem gewählten Sprache und liegt in Englisch, Deutsch, Französisch, Italienisch und Spanisch vor. Durch das Ermitteln der Systemsprache vermeidet der Schädling auch eine Infektion von Rechnern russischer, ukrainischer oder weißrussischer Nutzer. Laut Proofpoint sind aktuell vor allem Anwender in den USA betroffen, doch angesichts der lokalisierten Versionen sei Bart für den weltweiten Einsatz vorgesehen. Bisher gibt es noch kein Entschlüsselungswerkzeug, mit dem sich die von Bart verschlüsselten Daten ohne Lösegeldzahlung wiederherstellen lassen.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
