Es una variante de Locky, por lo que tiene un aspecto similar. De todas formas, si muchos no conocíais Locky, os vamos a explicar cómo funciona Bart, para que no os pille de sorpresa y tengáis bastante cuidado a la hora de abrir archivos desconocidos. Lo más peligroso de él, y de Locky, es que es capaz de de cifrar los archivos de la víctima sin necesidad de conectarse a un C&C, es decir a un comando y control del servidor, lo que lo hace invisible a la vista de los cortafuegos.
Los hackers utilizan RockLoader, un programa de descarga de software malicioso como intermediario para hacer llegar a Bart al ordenador de la víctima. También es posible que Bart llegue a través de correo electrónico por lo que, como siempre advertimos, hay que intentar evitar la descarga de archivos desconocidos de remitentes desconocidos.
Así funciona Bart
El archivo adjunto malicioso que puede venir junto a estos correos se disfraza como un archivo comprimido que se puede confundir con imágenes. Los desarrolladores utilizan nombres como “photos.zip”, “image.zip”, “Photos.zip”, “photo.zip”, “Foto .zip” o “picture.zip”. Pues bien, el archivo ZIP en cuestión contiene algo parecido a “PDF_123456789.js”, por lo que el usuario puede entender que se trataa de un documento PDF pero hay que estar atento, ya que la extensión especifica claramente que está hecha para el código JavaScript.
Si caemos en la trampa lo siguiente que veremos será una pantalla de bloqueo en donde aparecerá un texto con instrucciones sobre cómo descodificar el ramsomware y tener todos nuestros archivos disponibles. Para ello piden el pago de 3 bitcoins, es decir, unos 2.000$. Es aquí donde seguramente nos asustaremos ya que se habrán bloqueado todos los archivos con la extensión mp3, .mp4, .jpg, .jpeg, .mov, .docx, .xlsx, .pptx, .pdf, .zip, entre muchos otros. A todos ellos se les añadirá la extensión Bart.zip.
Además, Bart detecta el idioma en el que está el ordenador, y se traduce al italiano, francés, alemán y español. Curiosamente, si detecta que el PC esta en ruso, en ucraniano o en bielorruso, el propio malware se desactiva.
Desde Softzone siempre recomendamos tener mucho cuidado con todo tipo de archivos desconocidos que nos lleguen por correo electrónico. Además, Bart, gracias a que no tiene necesidad de conectarse a un a un C&C, no es detectado por los cortafuegos. Por eso, hay que doblar la vigilancia con él.
