Locky-Sprössling: Erpressungs-Trojaner Bart verschlüsselt anders und verlangt hohes Lösegeld

Hinter dem neu entdeckten Verschlüsselungs-Trojaner Bart stecken offensichtlich die gleichen Drahtzieher wie hinter Locky, vermuten Kryptologen von ProofPoint. Dafür spricht etwa der Verbreitungsweg; doch bei der Verschlüsselung geht Bart neue Wege.

Wie Locky, versucht auch Bart potentielle Opfer unter Windows über gefälschte E-Mails dazu zu bringen, den Datei-Anhang zu öffnen. Geschieht dies, komme den Sicherheitsforschern zufolge der auch bei Locky verwendete RockLoader zum Einsatz, um die Malware via HTTPS auf Computer zu schleusen. Zudem ähneln sich die Erpresser-Botschaft und die Zahlungs-Webseite.

Daten im ZIP-Gefängnis

Bei der Verschlüsselung von Daten setzt Bart aber nicht wie viele andere Erpressungs-Trojaner auf den Advanced Encryption Standard (AES): Bart nimmt Daten in passwortgeschützten ZIP-Archiven als Geisel; betroffene Dateien weisen anschließend die Namenserweiterung .bart.zip auf.

Bart ist den Kryptologen zufolge aufgrund vieler Übersetzungen, darunter auch Deutsch, auf einen weltweiten Einsatz vorbereitet; aktuell soll sich der Schädling vorwiegend in den USA verbreiten. Die Erpresser von Bart fordern Opfer auf, ein Lösegeld von drei Bitcoin (rund 1700 Euro) zu zahlen; bisher waren 0,5 Bitcoin (etwa 300 Euro) ein gängiger Betrag.

Damit der Verschlüsselungs-Prozess beginnt, müsse Bart nicht erst die Command-and-Control-Server der Kriminellen kontaktieren, erläutern die Sicherheitsforscher. So kann der Schädling sein Zerstörungswerk auch verrichten, falls eine Firewall derartige Verbindungen blockieren würde. ProofPoint vermutet, dass die Identifikations-Parameter des Opfers über die URL zum Bezahl-Server übertragen werden. Aktuell gibt es noch kein Tool, welches Daten ohne das Lösegeld zu zahlen entschlüsseln kann.

Lesen Sie dazu auch:

• Was können Opfer von Erpressungstrojanern tun?

(des)