Bart: باج افزار مخربی که رمزنگاری نمی کند

به گزارش شرکت شید افزار رایانه به نقل از شرکت PhishMe، گونه جدیدی از بدافزارهای باج افزار (Ransomware) با ساختاری بسیار ساده اما عملکردی مشابه باج افزارهای رمزنگار پیشرفته ای همچون Locky، دسترسی کاربر به فایل ها را مسدود می کند.

باج افزار جدید با عنوان Bart از طریق هرزنامه هایی منتشر می شود که پیوست آنها یک فایل ZIP حاوی فایل های JavaScript است. این فایل ها می توانند در سیستم عامل Windows بدون نیاز به هر گونه برنامه اضافی اجرا شده و دستگاه کاربر را آلوده کنند.

email

در صورت اجرا شدن فایل JavaScript، بدافزاری با عنوان RocketLoader دانلود شده و بر روی دستگاه کاربر اجرا می شود. وظیفه RocketLoader دانلود و نصب بدافزارهای دیگر است؛ در این نمونه مورد بحث، باج افزار Bart توسط RocketLoader دانلود و اجرا می شود.

بسیاری از باج افزارهای مخرب فایل ها را با استفاده از الگوریتم های رمزنگاری نظیر AES رمزگذاری می کنند. حال آنکه Bart با جستجوی دستگاه کاربر برای یافتن فایل های با پسوند زیر هر یک از آنها را در قالب یک فایل ZIP حفاظت شده با گذرواژه قفل می کند.

.n64, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sq, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mm, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xm, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key

نام و پسوند فایل های فشرده شده نیز به قالب original_name.extension.bart.zip تغیر داده می شود.

Figure-1-8

Figure-2-7

برای دریافت فایل رمزگشا، قربانی باید مبلغ ۳ بیت کوین (معادل ۶،۸۴۶،۶۴۰ تومان در زمان نگارش این خبر) به گردانندگان این باج افزار پرداخت کند.

هر چند فایل ZIP در عمل با بهره گیری از الگوریتم رمزنگاری، دسترسی کاربر به فایل ها را محدود می کند اما نویسنده یا نویسندگان این باج افزار، دیگر زحمتی برای پیاده سازی ساختار رمزنگاری نکشیده اند.

از نکات قابل توجه در خصوص Bart اینکه در صورتی که باج افزار تشخیص دهد که زبان دستگاه، روسی، بلاروسی یا اوکراینی است از دست درازی به فایل ها صرف نظر می کند.