به‌تازگی محققان باج افزار جدیدی را شناسایی کرده‌اند که پس از قرار گرفتن روی سیستم کاربر، توانایی رمزگذاری کردن و به سرقت بردن اطلاعات را دارد.

به گزارش واحد متخصصین سایبربان؛ پس از بازگشت بات‌نت Necurs و Locky، کارشناسان امنیتی، باج افزار جدید spews که Bart نامیده می‌شود را شناسایی کرده‌اند. فعالیت باج افزار بارت بر این اساس است که فایل‌های موردنظر را پس از در دسترس گرفتن قفل می‌کند. این اقدام صورت گرفته، چیزی پیچیده‌تر از فعالیت باج افزار Locky نیست.
بررسی‌ها نشان می‌دهد زیرساخت‌های نوشته‌شده باج افزار، بیشتر شبیه به باج افزار Locky است. همچنین محققان بر این باورند که گروه هکری که باج افزار لاکی را طراحی کرده است امکان دارد که طراح و سازنده این باج افزار نیز باشد.

 

شباهت انتشار باج‌افزارها با یکدیگر
محققان امنیتی PhishMe و Proofpoint پس از بررسی‌های خود به شباهت بین باج‌افزارها پرداختند که نشان می‌دهد باج افزار بارت شبیه به لاکی است، با این وجود که هر دو، برای اجرای فعالیت خود از روش ارسال هرزنامه‌ها همراه با استفاده از یک فایل ZIP مخرب JS، استفاده می‌کنند.
فایل‌های در حال اجرای JS، با استفاده از راک‌لودر، شروع به قرار گرفتن روی زیرساخت موردنظر می‌کنند.

 

فعالیت بدون اینترنت باج افزار بارت
در این میان، باج افزار بارت دارای تفاوت‌هایی نسبت به هم نوع خود، لاکی است، آن هم به این صورت است که باج افزار لاکی پس از قرار گرفتن روی سیستم مورد نظر و متصل شدن سیستم به اینترنت اطلاعات کاربر را به مرکز کنترل و فرماندهی (C & C) ارسال می‌کند. این در صورتی است که باج افزار بارت پس از قرار گرفتن روی سیستم از اطلاعات موجود یک فایل کپی می‌کند و به‌صورت رمزنگاری‌شده به سرور مرکزی خود ارسال می‌کند. تمام فرایند رمزگذاری باج افزار بارت به‌صورت محلی و بدون نیاز به اینترنت انجام می‌شود.
محققان Proofpoint، بر این باورند که باج افزار بارت توانایی قرار گرفتن پشت دیوار آتش و رمزنگاری رایانه‌های شخصی را دارد. کارشناسان امنیتی مدعی هستند که برای جلوگیری از نفوذ باج افزار در سیستم‌ها، باید از باز کردن ایمیل‌های دریافتی با محتوای فایل زیپ شده جلوگیری کرد.

 

رمزگذاری و محافظت فایل‌ها
باج افزار مذکور، به‌جای رمزگذاری فایل‌ها، آن‌ها را در یک فایل زیپ شده با امنیت بالا قرار می‌دهد. پس از قرار دادن اطلاعات در فایل موردنظر، یک فایل تصویری jpeg را تغییر نام می‌دهد و با فرمت jpeg.bart.zip ذخیره می‌کند. باید به این نیز توجه داشت که باج افزار بارت، توانایی هدف قرار دادن 159 فایل مختلف را دارد.

 

 

باج افزار پس از رمزگذاری فایل‌های موردنظر، از کاربر قربانی درخواست دریافت 3 بیت کوین (Bitcoin)، معادل 1800 دلار، در محیط دارک‌وب را می‌کند. پس از پرداخت مبلغ موردنظر، یک قفل‌گشا (decrypter) توسط باج افزار برای کاربر ارسال‌شده که با استفاده از این نرم‌افزار، کاربر توانایی دسترسی به اطلاعات خود را دارد.

 

 

 

در حال حاضر محققان در حال انجام تحقیق و بررسی بر روی باج افزار بارت هستند و بر این باورند که نرم‌افزار decrypter، بهترین راه برای بروز رسانی و مقابله با این باج افزار است.