Jakub Kroustek, en malware forsker ved Avast har formået at snuble på en helt ny ransomware infektion, baseret på Locky ransomware virus. Infektionen bruger .pearl filtypenavnet som det senere føjer til filer, der er krypteret med en stærk cipher. Da virus er meget lig den berygtede Locky ransomware og er en Evolve variant af Bart ransomware, mange brugere bør informeres om, at det er sandsynligt vil blive massivt spredes på verdensplan. Enhver, der er blevet smittet med Bart ransomware virus rådes kraftigt til at læse denne artikel og lære, hvad type virus det er, hvad det gør ved dine filer og hvordan man kan håndtere det.
Hent Malware Removal Tool, For at se om dit system er blevet påvirket af Locky Ransomware Virus og scanne dit system for .SHIT virus filer
Flere oplysninger om .perl Bart Virus
De tidligere versioner af Bart virus har krævet det vanvittige beløb af 3 BTC at låse krypterede filer, og der var endda en ransomware variant, der bruger .bart.zip forlængelse, som også er et arkiv med en unik adgangskode, tyder virussen er understøttet og distribueret af forskellige mennesker end den oprindelige Locky ransomware.
Denne version af Bart bruger nu den unikke .perl filtypen og kan have nogle forbedringer i de måder virussen er managed. Det kan spredes via flere forskellige filer, der kan enten være .hta eller .wsf type filer. Disse ondsindet HTML eller JavaScript-type filer kan foregiver at være en:
- Foto.
- Adobe PDF-dokument.
- Microsoft Office Document.
- En anden legitim fil.
Så snart brugere åbne filerne infektionen processen startes, og .perl variant af Bart ransomware kan forbinde til en ekstern vært fra en af de mange, der hører til Bart netværket og dermed hente den ondsindede nyttelast mens underrette de cyber-kriminelle i samme tid som en infektion begynder.
Den ondsindede nyttelast af Bart ransomware kan bestå af .exe, .dll, .cmd, .bin eller .bat type filer, og de kan være placeret i et af de nedenfor nævnte kritiske Windows-mapper:
- %Roaming%
- %Lokal%
- %Midlertidig%
- %AppData%
Når virussen fil ansvarlig for selve krypteringen er aktiveret, kan det straks begynde at kryptere filer. Bart ransomware kan programmeres til at kryptere en bred vifte af filtyper, såsom dem nedenfor, opdaget af forskere på ProofPoint.com:
.djv, .DjVu, .doc, .docb, .docm, .docx, .punktum, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .HWP, .IBD, .krukke, .java, .jpeg, .jpg, .nøgle, .lægge, .lay6, .LDF, .m3u, .m4u, .max, .CIS, .MDF, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .MS11, .mit f, .solgt, .skib, .spec, .svar, .Svar, .ODS, .ODT, .OTG, .OTP, .oTS, .der, .p12, .PAQ, .ikke, .pdf, .PEM, .php, .png, .gryde, .POTM, .potx, .ppam, .pps, .PPSM, .ppsx, .ppt, .PPTM, .PPTX, .PSD, .rar, .rå, .rtf, .sch, .sldm, .sldx, .SLK, .STC, .std, .STI, .STW, .svg, .sWF, .SXC, .SXD, .hun, .SXM, .sxw, .tager, .Tbk, .tgz, .TIF, .tiff, .txt, .generelt, .uot, .vbs, .VDI, .VMDK, .VMX, .Vob, .wav, .WB2, .WK1, .wks, .wma, .wmv, .XLC, .XLM, .xls, .xlsb, .xlsm, .XLSX, .XLT, .xltm, .xltx, .xlw, .zip
Så snart .perl Bart virus registrerer, at der er filer, der tilhører det er prækonfigureret liste over filtypenavne, virussen får helt ned til erhvervslivet. I modsætning til .shit eller .thor Locky ransomware virusvarianter, Bart ransomware virus, ændrer ikke navnene på de krypterede filer, men i stedet det simpelthen tilføjer extension .perl fil til dem, for eksempel:
- Picture.jpg.perl
Dette er et stærkt tegn indikerer, at .perl version af Bart ransomware kan være baseret på ældre Locky varianter og kan drives af en anden besætning. Dog, alle de Locky versioner forblive undecryptable op til dette punkt, så det er ikke klart endnu, om en gratis dekryptering værktøj vil blive frigivet snart. I mellemtiden, malware forskere kraftigt fraråde at betale nogen løsesum til de cyber-kriminelle bag virussen og specifikt at fokusere på at fjerne virussen selv med en avanceret anti-malware program og samtidig søger alternative metoder til at gendanne filer. En af disse alternative metoder kan være at bruge en avanceret data recovery software eller et decryptors for andre vira, men huske på, at denne procedure kan bryde filerne på ubestemt tid, og det er derfor, du bør lave flere kopier af dem.
Hent Malware Removal Tool, For at se om dit system er blevet påvirket af Locky Ransomware Virus og scanne dit system for .SHIT virus filer