Erpressungstrojaner .bart.zip – DHL Tracking 056392024191
Aktuell ist eine neue Welle mit Verschlüsselungstrojanern im Netz unterwegs. Es handelt sich dabei um eine modifizierte Variante von Locky, mit dem Namen „BART“. Nach Informationen von heise.de(¹) werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert, der Schlüssel zum Entschlüsseln dieser Dateien muss dann für etwa 1700€ erworben werden. Aktuell gibt es noch kein Tool welches es ermöglicht die Dateien ohne Zahlung zu entschlüsseln.
Im Anhang der genannten E-Mail befindet sich die Datei Sendung_056392024191.zip. Diese wird aktuell nur von 7/53 Virenscannern erkannt(²). In dieser ZIP-Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“. Dabei handelt es sich nicht um die erwarteten Etiketten für die Sendung, sondern um ausführbare JavaScript Dateien, diese beginnen bei der Ausführung direkt mit dem Download des Trojaners und der Verschlüsselung aller für den User zugänglichen Dateien.
Wie wir unsere Kunden schützen
- User-Manuals mit aktuellen Informationen zu Möglichen Gefahren
- Gruppenrichtlinien um das Ausführen solcher Dateien zu unterbinden
- E-Mails mit Verdächtigen Anhängen Kennzeichnen oder diese direkt entfernen
- Durch Rollen- und Rechte-Konzepte die Zugriffsmöglichkeiten für den Anwender möglichst gering halten
- Schreibgeschützte Backups durchführen und kontrollieren
Inhalt der E-Mail mit dem Verschlüsselungs-Trojaner BART
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn
¹ http://www.heise.de/security/meldung/Locky-Sproessling-Erpressungs-Trojaner-Bart-verschluesselt-anders-und-verlangt-hohes-Loesegeld-3250058.html
² https://virustotal.com/
Vielen dank für den tollen Artikel und die ausführliche Information. Die Informationen sind ziemlich hilfreich.
Gruß Anna
Wer möchte ihn haben?
Auffallend dabei ist, dass er bevorzugt an Mailadressen versand wird die Firmen zugeordnet werden können.
Abgesehen vom manipulierten header scheint er obendrein zumindest bei mir Strato zu vevorzugen