Bart

Bart Ransomware

(фейк-шифровальщик в 1-й версии)

(шифровальщик-вымогатель во 2-й версии)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На самом деле файлы помещаются в запароленный архив, а вымогатель работает без предварительного подключения к C&C-серверу. Bart — оригинальное название, данное ему его создателями. Вполне возможно, что в честь Барта Симпсона из мульсериала "Симпсоны". 

Remove Bart Decrypt Bart.zip Decode Restore files Recovery data Удалить Bart Дешифровать Расшифровать Восстановить файлы

  Заблокированные файлы получают расширение .bart.zip. Цели вымогателя: базы данных, документы и их шаблоны, PDF, фотографии, музыка, видео и пр. 

Для открытия файлов bart.zip требуется ввести пароль.

  Записок с требованием выкупа две: текстовая recover.txt (в каждой папке с заблокированными файлами) и recover.bmp (для замены обоев рабочего стола). 

  Для распространения используется спам-кампания с zip-вложениями, содержащими JavaScript-код. При неосторожном запуске содержимого вложения будет загружен и установлен загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем называется "Photos", а вложения могут быть следующие photos.zip, image.zip, Photos.zip, photo.zip, Photo.zip, picture.zip. В архивах находится JavaScript-файл, например, PDF_123456789.js 

  Bart проверяет язык системы и не запускает блокирование файлов, если язык системы пользователя русский, украинский или белорусский. Определив язык, на котором работает система, предлагает соответствующую записку с требованием выкупа на итальянском, французском, немецком и испанском языках. 

Список файловых расширений, подвергающихся блокированию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Уплата выкупа производится на платежном портале Decryptor Bart, который очень похож на тот, который используется Locky. Необходимая информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID". 

Т.к. файлы всё же не шифруются, то Bart Ransomware 1-й версии можно отнести к фейк-шифровальщикам. Но более новые версии уже шифруют файлы. 

Обновление от 18 августа 2016:
Новая версия: Bart 2.0
Новое расширение: .bart (без zip).
Записка с тем же названием, но содержание изменено: recover.txt

Обновление от 18 октября 2016:
Новая версия: Bart 2.5
Новое расширение: .perl (без zip).

Записка с тем же названием, но содержание изменено: recover.txt
Анализы: HA, VT

Степень распространённости: средняя. 
Подробные сведения собираются.

Внимание!

Для зашифрованных файлов есть декриптер

1. Скачать декриптер для Bart Ransomware >>>
2. Скачать декриптер для Bart Ransomware новых версий >>
Для дешифрования файлов нужно подключение к Интернету.