Verschlüsselungstronjer BART

Erpressungstrojaner .bart.zip – DHL Tracking 056392024191

Warnung

Bei dieser E-Mail handelt es sich um den Erpressungstrojaner „BART“

Aktuell ist eine neue Welle mit Verschlüsselungstrojanern im Netz unterwegs. Es handelt sich dabei um eine modifizierte Variante von Locky, mit dem Namen „BART“. Nach Informationen von heise.de(¹) werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert, der Schlüssel zum Entschlüsseln dieser Dateien muss dann für etwa 1700€ erworben werden. Aktuell gibt es noch kein Tool welches es ermöglicht die Dateien ohne Zahlung zu entschlüsseln.

Im Anhang der genannten E-Mail befindet sich die Datei Sendung_056392024191.zip. Diese wird aktuell nur von 7/53 Virenscannern erkannt(²). In dieser ZIP-Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“. Dabei handelt es sich nicht um die erwarteten Etiketten für die Sendung, sondern um ausführbare JavaScript Dateien, diese beginnen bei der Ausführung direkt mit dem Download des Trojaners und der Verschlüsselung aller für den User zugänglichen Dateien.

Wie wir unsere Kunden schützen

  • User-Manuals mit aktuellen Informationen zu Möglichen Gefahren
  • Gruppenrichtlinien um das Ausführen solcher Dateien zu unterbinden
  • E-Mails mit Verdächtigen Anhängen Kennzeichnen oder diese direkt entfernen
  • Durch Rollen- und Rechte-Konzepte die Zugriffsmöglichkeiten für den Anwender möglichst gering halten
  • Schreibgeschützte Backups durchführen und kontrollieren

Inhalt der E-Mail mit dem Verschlüsselungs-Trojaner BART

Sehr geehrter Kunde,

die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.

Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.

Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.

Mit freundlichen Grüßen,

DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn

¹ http://www.heise.de/security/meldung/Locky-Sproessling-Erpressungs-Trojaner-Bart-verschluesselt-anders-und-verlangt-hohes-Loesegeld-3250058.html
² https://virustotal.com/

4 Kommentare
  1. Anna
    Anna sagte:

    Vielen dank für den tollen Artikel und die ausführliche Information. Die Informationen sind ziemlich hilfreich.

    Gruß Anna

  2. Andreas Oberländer
    Andreas Oberländer sagte:

    Wer möchte ihn haben?
    Auffallend dabei ist, dass er bevorzugt an Mailadressen versand wird die Firmen zugeordnet werden können.
    Abgesehen vom manipulierten header scheint er obendrein zumindest bei mir Strato zu vevorzugen

Trackbacks & Pingbacks

  1. […] Das zeigt sich auch wieder in der aktuellen Diskussion um sog. Verschlüsselungs- oder Erpressungstrojaner wie Locky oder Zepto. Die auch als  „Ransomware“ bezeichneten Schadprogramme, die – verschickt über einen gefälschten E-Mail-Anhang –  sämtliche Dateien auf dem betroffenen System zunächst verschlüsseln und dann von den Nutzern hohe „Lösegelder“ für die Entschlüsselung der Daten fordern, haben 2016 schon für eine Menge Aufregung im Netz gesorgt (wir berichteten auf unserem Blog ). […]

  2. […] fordern, haben 2016 schon für eine Menge Aufregung im Netz gesorgt (wir berichteten auf unserem Blog ). Eine einfache Möglichkeit, befallene Rechner von Locky & Co. zu „befreien“ gibt es […]

Kommentare sind deaktiviert.