Die Kryptologen von Proofpoint gegen davon aus, dass für Bart die gleichen Kriminellen verantwortlich sind, die auch schon die erfolgreiche Ransomware Locky in Umlauf gebracht haben. Dafür sprechen das gleiche Vorgehen bei der Verbreitung und Ähnlichkeiten in der Erpresserbotschaft sowie der Zahlungs-Webseite. Die Malware ist in mehrere Sprachen übersetz worden, darunter auch deutsch. Dass spricht dafür, dass die Cyberkriminellen hinter Bart ihre Malware für den weltweiten Einsatz konzipiert haben.
Bei der Verschlüsselung von Daten unterscheidet sich Bart allerdings grundlegend von anderen Erpressungstrojanern. Der neue Erpressungstrojaner setzt nicht wie andere Ranswomwares auf Advanced Encryption Standard (AES). Stattdessen verschiebt Bart die Dateien in passwortgeschützte ZIP-Archive. Diese werden mit der Endung .bart.zip versehen. Die Ransomware kann außerdem anders als andere Schadsoftware dieser Art mit der Verschlüsselung der Dateien beginnen, ohne dass eine Verbindung zum Command-and-Control-Server aufgebaut werden muss. Das macht den Angreifer besonders gefährlich, denn eine einfache Firewall, die eine solche Verbindung verhindern würde, bietet gegen Bart keinen Schutz mehr. Üblicherweise werden Verschlüsselungstrojaner einige Zeit nach ihrem ersten Auftauchen geknackt. Für Bart ist allerdings bisher noch keine Möglichkeit bekannt, die Daten ohne Zahlung des Lösegeldes wiederherzustellen.
IT-Security ernst nehmen
Vor allem da Bart wesentlich mehr Lösegeld als bisherige Ransomwares fordert, gilt weiterhin die Empfehlung, das Lösegeld auf keinen Fall zu bezahlen. Mit den richtigen Maßnahmen können Sie sich auch gegen diesen neuen Erpressungstrojaner schützen. Wir, die Sicherheitsexperten von NetworkBox, empfehlen grundsätzlich, eine moderne Firewall und eine professionelle Antivirenlösung zu nutzen. Beide Systeme sollten gut aufeinander abgestimmt sein. Prüfen Sie außerdem, ob der Einsatz von Managed Security Services für Ihr Unternehmen sinnvoll ist. Diese bieten rund um die Uhr einen guten Schutz und entlasten die Mitarbeiter in den IT-Abteilungen. Warnen Sie auch Ihre Mitarbeiter und weisen Sie sie im Rahmen einer internen Schulung darauf hin, E-Mails – besonders solche mit Anhang – kritisch zu betrachten, bevor sie sie öffnen. Sollte ein System trotzdem befallen sein, kann der Zustand vor dem Befall wieder hergestellt werden, wenn täglich oder am besten gleich mehrfach täglich Backups durchgeführt wurden.
Lesen Sie auch:
- Der Mensch als wesentlicher Sicherheitsfaktor – Fünf Schritte zu mehr IT-Sicherheit am Arbeitsplatz
- Achtung: CryptXXX ist weiterhin aktiv – und agiert immer raffinierter
- Präventiv gegen Ransomware wie Jigsaw vorgehen
Dariush Ansari