Jakub Kroustek, en malware forskare vid Avast har lyckats snubblar på en helt ny Ransomware infektion, baserat på Locky Ransomware virus. Infektionen använder .pearl filnamnstillägg som den senare lägger till filer som har krypterats med en stark chiffer. Eftersom viruset är mycket lik den ökända Locky Ransomware och är en evolve variant av Bart Ransomware, många användare bör informeras om att det är sannolikt kommer att bli massivt spridas på en global skala. Alla som har smittats av Bart Ransomware viruset uppmanas att läsa denna artikel och lära sig vilken typ av virus det är, vad den gör till dina filer och hur man handskas med det.
Ladda ner Malware Removal Tool, För att se om ditt system har påverkats av Locky Ransomware Virus och skanna ditt system för .SHIT virus filer
Mer information om .perl Bart Virus
De tidigare versionerna av Bart-viruset har krävt den vansinniga mängden 3 BTC för att låsa upp krypterade filer och det fanns även en Ransomware variant som använder .bart.zip förlängning som också är ett arkiv med ett unikt lösenord, vilket tyder på att viruset stöds och distribueras av olika personer än den ursprungliga Locky Ransomware.
Denna version av Bart använder nu den unika .perl filändelsen och kan ha vissa förbättringar på det sätt viruset förvaltas. Den kan spridas via flera olika filer som antingen kan vara HTA eller WSF typ av filer. Dessa skadliga HTML eller JavaScript typ av filer kan låtsas vara en:
- Foto.
- Adobe PDF-dokument.
- Microsoft Office Document.
- En annan legitim fil.
Så snart användarna öppna filerna infektionsprocessen startas och .perl varianten av Bart Ransomware kan ansluta till en fjärrvärd från en av de många som hör till Bart nätverket och därmed ladda ner skadliga nyttolasten medan meddela cyberkriminella i samtidigt som en infektion börjar.
Den skadliga nyttolast Bart Ransomware kan bestå av .exe, .dll, .cmd, .bin eller .bat typ av filer och de kan placeras i ett av nedanstående viktiga Windows kataloger:
- %roaming%
- %Lokal%
- %temp%
- %Applikationsdata%
När viruset filen ansvarar för kryptering själv har aktiverats kan omedelbart börja kryptera filer. Bart Ransomware kan programmeras för att kryptera en mängd olika filtyper, såsom de nedan, upptäckt av forskare vid ProofPoint.com:
.DJV, .djvu, .doc, .Docb, .docm, .docx, .punkt, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .HWP, .IBD, .burk, .java, .jpeg, .jpg, .nyckel, .lägga, .lay6, .LDF, .m3u, .M4U, .max, .mdb, .MDF, .mitten, .mKV, .mov, .mp3, .mP4, .mpeg, .mpg, .MS11, .myf, .säljs, .nef, .ODB, .svar, .svara, .ods, .odt, .otg, .otp, .ots, .där, .p12, .PAQ, .inte, .pdf, .om inrättandet, .php, .png, .pott, .POTM, .potx, .ppam, .pps, .PPSM, .ppsx, .ppt, .pptm, .PPTX, .psd, .rar, .rå, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .sWF, .SXC, .SXD, .hon, .SXM, .SXW, .tar, .Tbk, .tgz, .tif, .tIFF, .Text, .allmänna, .uot, .vbs, .vdi, .VMDK, .VMX, .VOB, .wAV, .WB2, .WK1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .XL ™, .xltx, .xlw, .blixtlås
Så snart .perl Bart viruset upptäcker att det finns filer som hör till det förkonfigurerade lista över filändelser, viruset blir ända ner till företag. Till skillnad från .shit eller .thor Locky Ransomware virusvarianter, Bart Ransomware virus, ändrar inte namnen på de krypterade filer, men i stället det lägger helt enkelt .perl filändelsen till dem, till exempel:
- Picture.jpg.perl
Detta är ett starkt tecken som indikerar att .perl version av Bart Ransomware kan baseras på äldre Locky varianter och kan drivas av en annan besättning. dock, alla Locky versionerna kvar undecryptable fram till denna punkt, så det är inte klart ännu om en fri dekryptering verktyg kommer att släppas snart. Sålänge, malware forskare avråder betala någon lösen till cyberbrottslingar bakom viruset och att fokusera särskilt på att ta bort viruset själv med en avancerad anti-malware program samtidigt som man försöker alternativa metoder för att återställa filerna. En av dessa alternativa metoder kan vara att använda en avancerad data återvinning programvara eller en decryptors för andra virus, men ha i åtanke att detta förfarande kan bryta filerna på obestämd tid och det är därför du bör göra flera kopior av dem.
Ladda ner Malware Removal Tool, För att se om ditt system har påverkats av Locky Ransomware Virus och skanna ditt system för .SHIT virus filer