Bart勒索軟體無需連線C&C伺服器就能加密感染裝置的檔案

據外媒報導，近期，勒索軟體開發商Locky推出了一款cryptomalware的變種勒索軟體，叫Bart。作為Locky的一款變種軟體，Bart的功能跟其前身並無太大差別，不過它可以在不需要連線指揮與控制(C&C)伺服器的情況下就能對感染電腦的檔案進行加密。據瞭解，這些網路犯罪團伙通過一箇中間惡意軟體下載器–Rockloader來傳播Bart。

6月24日，來自Proofpoint網路安全公司的研究人員在郵件壓縮檔案附件檢測到了這個不尋常的大型網路活動，其中包含有JavaScript程式碼。而一旦這些程式碼開始執行，RockLoader就開始接管電腦，它將會自動將Bart勒索軟體下載到感染者的電腦中。

Proofpoint發現，這些惡意軟體附件一般都會以檔案壓縮包的形式出現，它們常用的名字有photos.zip、image.zip、Photos.zip、photo.zip、Photo.zip、picture.zip等。另外，壓縮包中還會有一個類似於PDF_123456789.js的檔案，使用者乍一看以為是一個普通的PDF檔案，而實際上它是作為JavaScript程式碼的一個擴充套件檔案存在。所以很多時候，使用者壓根兒就沒有注意到開啟該檔案的危險性。

一旦感染Bart之後，使用者的電腦背景就會被鎖定在惡意軟體的鎖屏介面，同時還會跳出一個recover.txt的視窗，裡邊包含有如何關掉該加密的方法–其實目的很明確，給3個比特幣（大約為2000美元）就解密。

任何以.mp3、.mp4、.jpg、.jpeg、.mov、.docx、.xlsx、.pptx、.pdf、.zip等字尾結尾的檔案都將被犯罪分子鎖定。一旦裝置被加密，電腦介面就會跳出一個.bart.zip的擴充套件檔案，上面列出了所有受影響的檔案。

而在對感染者裝置加密之前，Bart會先檢測該裝置所用語言。據瞭解，Bart“精通”義大利語、法語、德語、西班牙語。而如果系統語言是俄語、烏克蘭語、白俄羅斯語的話，Bart就會終止加密。

目前，Proofpoint還在調查這一勒索軟體的技術細節。

本文轉自d1net（轉載）