{"id":178844,"date":"2016-06-30T06:32:07","date_gmt":"2016-06-30T04:32:07","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=178844"},"modified":"2022-06-26T18:34:06","modified_gmt":"2022-06-26T16:34:06","slug":"vorsicht-vor-locky-nachfolger-bart-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/06\/30\/vorsicht-vor-locky-nachfolger-bart-ransomware\/","title":{"rendered":"Vorsicht vor Locky-Nachfolger Bart (Ransomware)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" \/>Ein neuer Verschl\u00fcsselungstrojaner mit dem Namen Bart tritt die Nachfolge von Locky an. Hier ein paar Informationen zum neuen Sch\u00e4dling sowie Tipps zu Abwehrma\u00dfnahmen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/71957848a5bf45b7b968f880e514a824\" alt=\"\" width=\"1\" height=\"1\" \/>Die <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/New-Bart-Ransomware-from-Threat-Actors-Spreading-Dridex-and-Locky\" target=\"_blank\" rel=\"noopener noreferrer\">Info kommt<\/a> von den Sicherheitsexperten von Proofpoint, die die neue Ransomware mit dem Namen Bart versehen haben. Die Ransomware wurde am 24. Juni 2016 erstmals gesichtet und wird per RockLoader heruntergeladen.<\/p>\n<h3>Der Bart kommt per Mail als ZIP-Anhang<\/h3>\n<p>Den Sicherheitsforschern war ein gro\u00dfer Anhang in Form einer .ZIP-Datei (<em>Fotos.zip<\/em> oder \u00e4hnlich genannt) in einer Mail aufgefallen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20191223114948\/https:\/\/www.proofpoint.com\/sites\/default\/files\/users_content\/284\/bart-1.png\" width=\"628\" height=\"330\" \/><br \/>\n(Quelle: Proofpoint)<\/p>\n<p>Nach dem Entpacken stellte sich heraus, dass das Archiv .JS-Dateien (Proofpoint schreibt von JavaScript, imho ist es aber JScript) enthielt. F\u00fchrt der Anwender das Script aus, l\u00e4dt dieses den RockLoader aus dem Internet und startet diesen. Der RockLoader wurde erstmals in Verbindung mit dem Verschl\u00fcsselungstrojaner Locky benutzt. Proofpoint geht daher davon aus, dass die gleichen Kriminellen hinter Bart stecken.<\/p>\n<p>Wurde Bart per RockLoader installiert, pr\u00fcft die Ransomware beim\u00a0Aufruf, ob die Systemsprache auf Russisch, Ukrainisch oder Wei\u00dfrussisch (sowie einige andere Sprachen9 eingestellt ist. In diesem Fall terminiert der Trojaner. Bei anderen Systemsprachen verschl\u00fcsselt Bart die auf dem System erreichbaren Dokumentdateien. Dabei braucht die Ransomware keinen Zugriff auf einen Command &amp; Control-Server, um die Schl\u00fcssel zu holen. Dokumentdateien werden in passwortgesch\u00fctzte ZIP-Archive mit der Dateinamenerweiterung <em>.bart.zip<\/em> gepackt. Gleichzeitig legt Bart eine Datei <em>recover.txt <\/em>in die Ordner mit den verschl\u00fcsselten Dateien und tauscht den Desktop-Hintergrund mit folgender <em>recover.bmp<\/em> aus.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20191223114947\/https:\/\/www.proofpoint.com\/sites\/default\/files\/users_content\/284\/bart-2.png\" width=\"640\" height=\"277\" \/><br \/>\n(Quelle: Proofpoint)<\/p>\n<p>Der Trojaner h\u00e4lt, neben Englisch, dabei auch \u00fcbersetzte Varianten der beiden Dateien in Italienisch, Deutsch und Spanisch bereit. Die Dateien informieren den Benutzer \u00fcber die Verschl\u00fcsselung und gibt Hinweise, wie er aus der Nummer herauskommen k\u00f6nnte. Allerdings ist die H\u00f6he des L\u00f6segelds heftig, statt wie bisher 0,5 Bitcoins (ca. 300 Euro) f\u00fcr den Schl\u00fcssel zum Entschl\u00fcsseln zu verlangen, erwarten die Kriminellen nun 3 Bitcoins (ca. 1.700 Euro). Weitere Details lassen sich in <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/New-Bart-Ransomware-from-Threat-Actors-Spreading-Dridex-and-Locky\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Proofpoint-Blog-Beitrag<\/a> nachlesen. Ein paar Infos auf Deutsch finden sich bei <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/Locky-Sproessling-Erpressungs-Trojaner-Bart-verschluesselt-anders-und-verlangt-hohes-Loesegeld-3250058.html?wt_mc=rss.ho.beitrag.rdf\" target=\"_blank\" rel=\"noopener noreferrer\">heise.de<\/a> und <a href=\"http:\/\/www.n-tv.de\/technik\/Vorsicht-Locky-Nachfolger-greift-an-article18067911.html\" target=\"_blank\" rel=\"noopener noreferrer\">n-tv<\/a>.<\/p>\n<h3>In Deutschland auch unterwegs \u2013 DHL Tracking-Fake<\/h3>\n<p>Proofpoint hat nur ein Beispiel f\u00fcr den Trojaner bzw. dessen Verteilung genannt. Auf <a href=\"https:\/\/web.archive.org\/web\/20210126064134\/https:\/\/www.kaneo-gmbh.de\/erpressungstrojaner-bart-dhl-tracking-056392024191\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser deutschsprachigen Webseite<\/a> findet sich der Hinweis, dass die Ransomware auch als Anhang an eine angebliche DHL Tracking 056392024191-Mail verteilt wird. Hier ein Beispieltext der Mail:<\/p>\n<p><em>Sehr geehrter Kunde,<\/em><\/p>\n<p><em>die Lieferung f\u00fcr das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.<br \/>\nDer Kurier war zum wiederholten Male nicht in der Lage Sie pers\u00f6nlich anzutreffen.<\/em><\/p>\n<p><em>Bitte senden Sie uns das ausgef\u00fcllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.<\/em><\/p>\n<p><em>Das Versandetikett f\u00fcr Ihre Lieferung finden Sie im Anhang dieser E-Mail.<\/em><\/p>\n<p><em>Mit freundlichen Gr\u00fc\u00dfen,<\/em><\/p>\n<p><em>DHL EXPRESS<br \/>\nDeutsche Post AG<br \/>\nCharles-de-Gaulle-Stra\u00dfe 20<br \/>\nPLZ\/ Ort: 53113 Bonn<\/em><\/p>\n<p>Im Anhang der Mail findet sich die Datei <em>Sendung_056392024191.zip<\/em>, die die .JS-Dateien enth\u00e4lt.<\/p>\n<h3>Weitere Randbemerkungen<\/h3>\n<p>Momentan gibt es noch keinen Ansatz, um die Verschl\u00fcsselung aufzuheben, so der Tenor im Netz. Aber ich bin mir nicht sicher, wie lange das Ganze h\u00e4lt. Sofern die Dokumente nur in einer Passwort-gesch\u00fctzten ZIP-Archivdatei stecken und selbst unverschl\u00fcsselt sind, d\u00fcrften die Inhalte mit entsprechenden Knackprogrammen wieder zu restaurieren sein. Denn passwortverschl\u00fcsselte ZIP-Dateien sind nicht wirklich gesch\u00fctzt \u2013 weshalb Windows in seinen Bordmitteln auch auf die Passwort-Unterst\u00fctzung sch\u00fctzt.<\/p>\n<p>Ach ja: Es gibt nat\u00fcrlich noch die \"erste\" Entfernungsanweisung f\u00fcr BART <a href=\"http:\/\/www.trojaner-board.de\/179915-bart-ransomware-bart-zip-files-encrypted-entfernen.html\" target=\"_blank\" rel=\"noopener noreferrer\">bei trojaner-board.de<\/a>. Normalerweise sind deren Anleitungen ja ganz hilfreich. Aber die betreffende Anleitung halt ich schlicht f\u00fcr Humbug. Wenn das System infiziert ist, hilft nur noch neu aufsetzen. Und die Verbreitung von Bart erfolgt nicht durch Adware, sondern laut Proofpoint per Mail-Anhang. Aber das ist lediglich meine pers\u00f6nliche Meinung.<\/p>\n<h3>Diese Bedrohungen nehmen zu<\/h3>\n<p>Laut einer mir vom Sicherheitsanbieter <a href=\"https:\/\/web.archive.org\/web\/20210510174823\/https:\/\/www.forcepoint.com\/de\" target=\"_blank\" rel=\"noopener noreferrer\">Forcepoint<\/a> vorliegenden Information ist der Anteil von E-Mails mit infizierten Inhalten wie Locky, Bart &amp; Co. weltweit um 250 % gestiegen &#8211; darunter sind auch mehr als vier Millionen Anh\u00e4nge mit gef\u00e4hrlichen Macros.<\/p>\n<p>laut einer Prognose der Radicatti Group wird es bis 2019 etwa 5,59 Milliarden E-Mail-Accounts geben, 26 Prozent mehr als heute. Darunter sind viele Adressen, die f\u00fcr Phishing-Kampagnen oder Spionage genutzt werden.<\/p>\n<h3>Abwehrma\u00dfnahmen sind m\u00f6glich<\/h3>\n<p>Abwehrma\u00dfnahme, die auch im Privatumfeld greift, w\u00e4re imho, keine E-Mail-Anh\u00e4nge von Mails mit obskuren Absendern oder Inhalten zu \u00f6ffnen und die Anwender zu sensibilisieren.<\/p>\n<p>Administratoren k\u00f6nnen zudem die Ausf\u00fchrung von .JS-Dateien unter Windows blockieren. Wie das geht, habe ich im Artikel <a href=\"https:\/\/borncity.com\/blog\/2016\/06\/21\/raa-malware-ransomeware-trojaner-und-die-kur-dagegen\/\">RAA-Malware: Ransomware + Trojaner und die Kur dagegen<\/a> beschrieben. Forcepoint gibt Unternehmen zum Schutz vor Angreifern und Datenverlusten noch folgendes mit auf den Weg:<\/p>\n<ul>\n<li>E-Mail- und URL-L\u00f6sungen mit zeitversetzter Filterfunktion installieren, da viele Phishing-E-Mails die Infizierung im Anhang erst nach Erhalt der Meldung aktivieren und somit herk\u00f6mmliche Antivirus-Software umgehen.<\/li>\n<li>eine cloud-basierte oder hybride L\u00f6sung integrieren, um infizierte Anh\u00e4nge sicher in der Cloud zu \u00f6ffnen, zu analysieren und im Ernstfall zu blockieren. Eine Infizierung des Computers wird dadurch verhindert.<\/li>\n<li>die Mitarbeiter f\u00fcr MHTML-Anh\u00e4nge von unbekannten Absendern sensibilisieren, da diese oft mit infizierten Macros ausgestattet sind. Beim Click wird ein Code ausgef\u00fchrt, der als Malware oft langfristig unbemerkt im System verweilt und weitreichenden Schaden anrichten kann.<\/li>\n<li>regelm\u00e4\u00dfige Schulungen und Seminare zur Erkennung von Phishing-E-Mails anbieten, da Angreifer immer \u00f6fter intelligente Social-Engineering-Taktiken verwenden und mit personalisierten Inhalten den Empf\u00e4nger zum \u00d6ffnen der Meldung animieren.<\/li>\n<\/ul>\n<p>F\u00fcr solche Ma\u00dfnahmen wird man in Unternehmen aber vermutlich ganz oder partiell auf die Unterst\u00fctzung von Sicherheitsspezialisten zur\u00fcckgreifen m\u00fcssen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/09\/bsartigen-javascript-e-mail-flut-erreicht-europa\/\">B\u00f6sartige JavaScript E-Mail-Flut erreicht Europa<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/21\/raa-malware-ransomeware-trojaner-und-die-kur-dagegen\/\">RAA-Malware: Ransomware + Trojaner und die Kur dagegen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2016\/06\/27\/facebook-malware-zielt-auf-google-chrome-nutzer\/\">'Facebook'-Malware zielt auf Google Chrome-Nutzer<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20210418175511\/https:\/\/borncity.com\/blog\/2016\/06\/13\/neue-exploit-kits-neue-risiken-neue-malware-kampagnen\/\">Neue Exploit-Kits, neue Risiken, neue Malware-Kampagnen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein neuer Verschl\u00fcsselungstrojaner mit dem Namen Bart tritt die Nachfolge von Locky an. Hier ein paar Informationen zum neuen Sch\u00e4dling sowie Tipps zu Abwehrma\u00dfnahmen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5097,4839,4715,4328],"class_list":["post-178844","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-bart","tag-locky","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178844","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178844"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178844\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178844"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178844"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178844"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}