Jakub Kroustek, um pesquisador de malware no Avast conseguiu tropeçar em cima de um bastante nova infecção ransomware, com base nos vírus ransomware Locky. A infecção usa a extensão do arquivo .pearl que, mais tarde, acrescenta a arquivos que foram criptografados com uma cifra forte. Desde que o vírus é muito semelhante ao ransomware Locky notório e é uma variante evoluir de Bart ransomware, muitos usuários devem ser avisados de que é provável vai ser maciçamente espalhar em escala global. Qualquer um que tenha sido infectado pelo vírus ransomware Bart são fortemente aconselhados a ler este artigo e aprender o tipo de vírus é, o que ele faz aos seus arquivos e como lidar com ele.
Baixar Malware Removal Tool, para ver se o sistema tiver sido afetada por vírus Locky ransomware e analisar o seu sistema de arquivos de vírus .SHIT
Mais informações sobre .perl Bart vírus
As versões anteriores do vírus Bart têm vindo a exigir a quantidade insana de 3 BTC para desbloquear arquivos criptografados e houve até uma variante ransomware que usa extensão .bart.zip que também é um arquivo com uma senha exclusiva, sugerindo que o vírus é suportado e distribuído por pessoas diferentes que o ransomware Locky originais.
Esta versão do Bart agora está usando a extensão do arquivo .perl única e pode ter algumas melhorias nos caminhos do vírus é gerenciado. Pode ser espalhado através vários ficheiros que podem ser tanto .hta ou .wsf tipo de arquivos. Estes HTML malicioso ou tipo JavaScript de arquivos pode estar fingindo ser um:
- foto.
- Adobe PDF Documento.
- Documento Microsoft Office.
- Outro arquivo legítimo.
Assim que os usuários abrir os arquivos do processo de infecção é iniciado e a variante .perl de Bart ransomware pode se conectar a um host remoto de um dos muitos pertencentes à rede Bart e, portanto, fazer o download do conteúdo malicioso enquanto notificar os ciber-criminosos na mesmo tempo que uma infecção está começando.
A carga maliciosa de Bart ransomware pode consistir em .exe, .dll, .cmd, .bin ou .bat tipo de arquivos e eles podem estar localizados em um dos diretórios críticos do Windows abaixo mencionados:
- %Roaming%
- %Local%
- %temp%
- %Dados do aplicativo%
Quando o arquivo de vírus responsável pela própria criptografia foi ativado pode começar imediatamente a criptografia de arquivos. Bart ransomware pode ser programado para criptografar uma grande variedade de tipos de arquivos, tais como as apresentadas a seguir, descoberto por pesquisadores ProofPoint.com:
.DJV, .djvu, .doutor, .docb, .docm, .docx, .ponto, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jarra, .Java, .jpeg, .jpg, .chave, .deitar, .lay6, .ldf, .m3u, .m4u, .max, .CIS, .mdf, .médio, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .MS11, .meu f, .vendido, .nave, .especulação, .resposta, .Responder, .ods, .odt, .OTG, .otp, .ots, .lá, .p12, .paq, .não, .pdf, .pem, .php, .png, .maconha, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPTM, .pptx, .psd, .rar, .cru, .rtf, .sch, .sldm, .sldx, .SLK, .stc, .std, .sti, .stw, .SVG, .swf, .sxc, .SXD, .ela, .SXM, .sxw, .leva, .tbk, .tgz, .tif, .arrufo, .TXT, .geral, .uot, .vbs, .VDI, .vmdk, .vmx, .vob, .wav, .WB2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, ..xlw, .zip
Assim que o .perl vírus Bart detecta que existem arquivos pertencentes à sua lista pré-configurada de extensões de arquivo, o vírus vai direto ao que interessa. Ao contrário .shit ou .thor locky variantes virais ransomware, o vírus ransomware Bart, não altera os nomes dos arquivos criptografados, mas em vez disso ele simplesmente acrescenta a extensão do arquivo .perl a eles, por exemplo:
- Picture.jpg.perl
Este é um sinal forte indicando que a versão .perl do ransomware Bart pode ser baseada em variantes Locky mais velhos e pode ser operado por outra equipe. Contudo, todas as versões Locky permanecem undecryptable até este ponto, por isso não é claro se uma ferramenta de decodificação livre será lançado em breve. Enquanto isso, pesquisadores de malware recomendo fortemente contra pagar qualquer resgate para os ciber-criminosos por trás do vírus e para se concentrar especificamente sobre como remover o vírus se com um programa anti-malware avançado, enquanto procuram métodos alternativos para restaurar os arquivos. Um desses métodos alternativos pode ser a utilização de um software de recuperação de dados avançada ou um decryptors para outros vírus, mas tenha em mente que este procedimento pode quebrar os arquivos indefinidamente e é por isso que você deve fazer várias cópias deles.
Baixar Malware Removal Tool, para ver se o sistema tiver sido afetada por vírus Locky ransomware e analisar o seu sistema de arquivos de vírus .SHIT