Бесплатный инструмент для восстановления файлов, закодированных вымогательской программой Bart, был разработан аналитиком компании AVG Якубом Крустеком.
Вредоносная программа Bart появилась относительно недавно. Распространение этой троянской программы началось в конце июня. Для этой цели использовались спам-письма со ссылками на программу. За рассылку отвечает ботнет Necurs, с помощью которого раньше распространялись программы Dridex и Locky.
После заражения компьютера Bart осуществляет упаковку файлов пользователя в отдельные архивы с расширением .bart.zip, защищенные паролем, а оригинальные копии удаляет. Программа требует у пользователя 3 биткоина за восстановление файлов.
Так как программа не использует шифрование, ей не нужен командный сервер, на котором бы хранились ключи от файлов пострадавших пользователей. Таким образом, Bart может функционировать в автономном режиме и наносить ущерб даже при отсутствии подключения к интернету. В отличие от некоторых других вымогательских программ, Bart нельзя заблокировать с помощью прокси.
Инструмент, созданный Якубом Крустеком, вычисляет пароль, сравнивая файл, закодированный Bart, и его оригинальную копию. Обычно это несложно, поскольку хотя бы один из закодированных файлов скорее всего сохранился в электронном письме или в виде резервной копии.
При запуске инструмент AVG отправляет запрос на несколько файлов для того, чтобы провести анализ. Помимо этого, необходимо указать утилите на место, где находятся другие документы, закодированные вымогательской программой. Затем инструмент уже без вмешательства пользователя восстановит информацию.