Roppant veszélyes a legújabb zsarolóvírus

A Bart nevű zsaroló program jelszóval védett, tömörített fájlokba csomagolja a felhasználók értékes állományait. Aztán nem kis váltságdíjat követel a jelszóért cserébe.
 

Az elmúlt időszakban nagyon sok kárt okozó Locky zsaroló program terjedése júniusban jelentősen visszafogottabbá vált köszönhetően annak, hogy a terjesztéséért felelős Necurs botnet megbénult. Sajnos a vírusterjesztőknek nem tartott sokáig, hogy rendezzék a soraikat, így a múlt hét óta a Locky ismét egyre nagyobb számban ostromolja a számítógépeket. Ráadásul olyan újabb összetevőkkel bővült, amelyek a károkozó elemzését, felderítését tovább nehezítik. A problémát azonban nem kizárólag ez jelenti, hanem az is, hogy felütötte a fejét egy olyan kártevő, amely sok szempontból hasonlít a Lockyra, de azért újdonságokat is tartogat.
 
A Bart az új zsaroló
 
A PhishMe és a Proofpoint kutatói is rávetették magukat az új, Bart névre keresztelt zsaroló program elemzésére. Megállapították, hogy az nagyon hasonlóan terjed elektronikus levelekben, mint a Lokcy. A készítői zsaroló üzenetet, fizetésre szolgáló weboldalt, sőt egyes kódrészleteket is elhappoltak a veszélyes elődtől. A kutatók szerint nem elképzelhetetlen, hogy a két szerzemény között nemcsak felépítésbeli, működésbeli és funkcionális hasonlóság van, hanem a vírusírók (kiberbandák) között is lehetnek összefonódások.  
Természtesen azért a Bart nem egy az egyben másolta le a Lockyt. A legfontosabb különbség, hogy az új szerzemény nem használ különösebben kifinomult titkosítási eljárásokat. Ehelyett egy kiterjesztéslista alapján felkutatja a feltételezhetően értékes állományokat, amelyeket ZIP segítségével, jelszóval védetten betömörít. Ezt követően minden olyan mappába, amelyben legalább egy fájlt használhatatlanná tett, elhelyezi a zsaroló üzenetét és azokat az utasításokat, amelyeket a felhasználónak követnie kellene a helyreállítás érdekében.  
A Bart a Lockyhoz képest jóval jelentősebb összegű váltságdíjat szed. Míg a Locky általában beéri 0,5 Bitcoinnal, addig a Bart-féle váltságdíj 3 Bitcointól indul, vagyis akár a 2000 dollárt is meghaladhatja a zsarolók követelése.
 
További nagyon fontos különbség a két károkozó között, hogy a Bart a fájlok titkosítása (tömörítése) előtt nem kapcsolódik vezérlőszerverhez. Míg a Locky a fertőzése során kommunikál távoli kiszolgálókkal, addig a Bart a támadók számára szükséges információkat URL-ekbe elhelyezett paraméterek segítségével juttatja el a terjesztőihez akkor, amikor a felhasználó rákattint a váltságdíj kifizetését lehetővé tevő linkre. Mindez azt jelenti, hogy a Bart vállalati környezetekben is képes lehet komolyabb pusztításra, hiszen hiába van tűzfal, ami a titkosítás előtti kommunikációt megakadályozná, ha egyszer nincs is kommunikáció.
 
Az eddigi adatok szerint a Bart jelenleg elsősorban az Egyesült Államokban pusztít, de a kutatók szerint könnyen elképzelhető, hogy sokkal szélesebb támadási hullám fogja kezdetét venni. Ezt támasztja alá az is, hogy a Bart jelenlegi variánsa angol mellett francia, német és spanyol nyelvű üzeneteket is képes megjeleníteni a fertőzött rendszer nyelvi beállításainak függvényében. Ugyanezen nyelvi beállítások alapján érintetlenül hagyja az orosz, az ukrán és a belorusz felhasználók számítógépeit.
 
A Bart esetében is elmondható, hogy nem célszerű a váltságdíj kifizetése, mivel nincs garancia arra, hogy a csalók megküldik a dekódoláshoz szükséges jelszót. Ráadásul még fel is bátorítjuk őket. Ehelyett a megelőzésre kell helyezni a hangsúlyt, és a korszerű, naprakész vírusvédelem mellett a rendszeres biztonsági mentésekről sem szabad megfeledkezni.