Аналитик антивирусной компании AVG Якуб Крустек разработал бесплатную утилиту, которая восстанавливает файлы, закодированные трояном-вымогателем Bart.
Bart — это относительно новая вредоносная программа. Первая кампания по распространению этого трояна стартовала в конце июня. Спам со ссылками на него рассылал ботнет Necurs, в прошлом участвовавший в распространении Dridex и Locky (с последним Bart связывают многие общие черты).
Поразив компьютер жертвы, Bart упаковывает файлы в отдельные запароленные zip-архивы с расширением .bart.zip, после чего удаляет оригинал. После этого он требует у пользователя три биткоина (около 129 тысяч рублей) и восстанавливает файлы только после уплаты выкупа.
Поскольку Bart обходится без крипто, ему не нужен командный сервер для хранения ключей от файлов жертвы. За счёт этого он может работать автономно и причинять вред даже в тех случаях, когда доступа к интернету нет. Его нельзя заблокировать при помощи прокси, как некоторые другие трояны-вымогатели.
Утилита, которую разработал Якуб Крустек, определяет пароль путём сравнения файла, над которым уже поработал Bart, и его оригинала. Как правило, это не проблема: хотя бы один из закодированных файлов наверняка сохранился в почте, бэкапах или другом источнике.
После запуска декриптор AVG запрашивает пару файлов для анализа. Кроме того, нужно показать ему, где лежат остальные документы, испорченные трояном-вымогателем. Об остальном программа позаботится сама.
