Ransomware und kein Ende

Bart wurde am 24. Juni 2016 erstmals gesichtet und wird per RockLoader heruntergeladen. Er verbreitet sich momentan rasend schnell und nutzt dabei ähnlich wie sein größerer Bruder Locky schadhafte Anhänge in E-Mails. Scheinbar ist der Erfolg der Cyberkriminellen so groß, dass nun auch die Lösegeldmenge höher ausfällt. Anders als Locky verlangt Bart umgerechnet 1700 Euro oder 3 Bitcoins, um die durch die Schadsoftware verschlüsselten Dateien wieder zu decodieren. Experten gehen derzeit davon aus, dass die gleichen Cyberkriminellen für Bart verantwortlich sind, die auch schon die erfolgreiche Ransomware Locky in Umlauf gebracht haben. Neben dem gleichen Vorgehen bei der Verbreitung und den Ähnlichkeiten in der Erpresserbotschaft spricht dafür auch die derzeitige Webseite, über die die Zahlung getätigt werden soll.

Jetzt mit ZIP-Verschlüsselung

Bart arbeitet und verschlüsselt grundlegend anders als Locky oder andere Erpressungstrojaner. Bart setzt nicht auf den Advanced Encryption Standard (AES), sondern nutzt stattdessen die Verschlüsselung und Komprimierung der Dateien in passwortgeschützte ZIP-Archive. Erfolgreich verschlüsselte Dateien werden mit der Endung ".bart.zip" versehen. Großer Vorteil für die Angreifer: Die Ransomware verschlüsselt nicht erst nach einer Verbindung zum Command&Control-Server, sondern kann dies bereits direkt nach der Infizierung tun. Das macht den Trojaner besonders gefährlich, auch für Unternehmen, die bereits mehrere Präventivmaßnahmen einsetzen. Denn ein entsprechendes Firewall-Regelwerk, das einen Verbindungsaufbau zu den Command&Control-Servern verhindert, bleibt wirkungslos. In der Regel werden Verschlüsselungstrojaner einige Zeit nach ihrem ersten Auftauchen geknackt. Für Bart war bis zum Redaktionsschluss noch keine Möglichkeit bekannt, die Daten ohne Zahlung des Lösegeldes wiederherzustellen.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.