Ransomware und kein Ende

Fieser Bart

Derzeit vergeht kaum ein Tag, an dem nicht über neue, noch intelligentere Ransomware berichtet wird. Die bekannte und leider auch stark verbreitete Ransomware Locky hat nun auch einen Nachfolger gefunden: den Erpressungstrojaner Bart.
Anwender mit nur einem mobilen Gerät dürften heute bereits die große Ausnahme sein. Zudem findet ein und dasselbe Smartphone oft sowohl privat als auch ... (mehr)

Bart wurde am 24. Juni 2016 erstmals gesichtet und wird per RockLoader heruntergeladen. Er verbreitet sich momentan rasend schnell und nutzt dabei ähnlich wie sein größerer Bruder Locky schadhafte Anhänge in E-Mails. Scheinbar ist der Erfolg der Cyberkriminellen so groß, dass nun auch die Lösegeldmenge höher ausfällt. Anders als Locky verlangt Bart umgerechnet 1700 Euro oder 3 Bitcoins, um die durch die Schadsoftware verschlüsselten Dateien wieder zu decodieren. Experten gehen derzeit davon aus, dass die gleichen Cyberkriminellen für Bart verantwortlich sind, die auch schon die erfolgreiche Ransomware Locky in Umlauf gebracht haben. Neben dem gleichen Vorgehen bei der Verbreitung und den Ähnlichkeiten in der Erpresserbotschaft spricht dafür auch die derzeitige Webseite, über die die Zahlung getätigt werden soll.

Jetzt mit ZIP-Verschlüsselung

Bart arbeitet und verschlüsselt grundlegend anders als Locky oder andere Erpressungstrojaner. Bart setzt nicht auf den Advanced Encryption Standard (AES), sondern nutzt stattdessen die Verschlüsselung und Komprimierung der Dateien in passwortgeschützte ZIP-Archive. Erfolgreich verschlüsselte Dateien werden mit der Endung ".bart.zip" versehen. Großer Vorteil für die Angreifer: Die Ransomware verschlüsselt nicht erst nach einer Verbindung zum Command&Control-Server, sondern kann dies bereits direkt nach der Infizierung tun. Das macht den Trojaner besonders gefährlich, auch für Unternehmen, die bereits mehrere Präventivmaßnahmen einsetzen. Denn ein entsprechendes Firewall-Regelwerk, das einen Verbindungsaufbau zu den Command&Control-Servern verhindert, bleibt wirkungslos. In der Regel werden Verschlüsselungstrojaner einige Zeit nach ihrem ersten Auftauchen geknackt. Für Bart war bis zum Redaktionsschluss noch keine Möglichkeit bekannt, die Daten ohne Zahlung des Lösegeldes wiederherzustellen.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019