Киберпреступники, распространяющие вредоносное программное обеспечение Dridex и Locky, начали использовать новый шифровальщик Bart. По словам экспертов Proofpoint, Bart и Locky имеют идентичные экраны с требованием выкупа.
Новая вымогательская программа осуществляет шифрование файлов на целевом компьютере жертвы без предварительного подключения к C&C-серверу. Эта схема позволяет программе шифровать файловые системы Windows, обходя корпоративные межсетевые экраны, которые могут блокировать подобный вредоносный трафик.
Загрузка Bart на компьютер осуществляется через HTTPS-протокол. Для этой процедуры используется вредоносное программное обеспечение RockLoader, которое также применяется для распространения Locky. Загрузчик проникает на целевую систему благодаря электронному письму с вложенным ZIP-файлом, который содержит вредоносный JavaScript-код. После открытия архива осуществляется инсталляция дроппера RockLoader, который позже занимается загрузкой и установкой Bart.
Перед тем, как пользователь сможет ознакомиться с инструкцией по уплате выкупа, вредоносная программа определяет язык интерфейса. Bart не работает, если языком интерфейса является белорусский, русский или украинский. За восстановление информации хакеры требуют 3 биткоина.