Kas yra Bart virusas ir kokią žalą jis gali padaryti?
Failus užkoduojantis Bart virusas yra naujas Locky viruso kūrėjų darbas. Lygiai taip pat kaip Locky, jis plinta JS failo pagalba, kuris aktyvuoja RockLoader įrankį, leidžiantį įdiegti pavojingus failus į užkrėstą kompiuterį. Svarbu atkreipti dėmesį į tai, kad Bart ransomware virusas gali šifruoti duomenis be prieigos prie interneto, otai reiškia, kad viruso neįmanoma sustabdyti atjungus interneto ryšio. Jis taip pat nekomunikuoja su Command and Control serveriais ir į juos nesiunčia unikalaus failų atkodavimo rakto. Virusas lokalizuoja duomenų šifravimo procedūrą ir vietoje įprastų RSA bei AES kodavimo algoritmų, jis patalpina failus į ZIP archyvus ir juos apsaugo slaptažodžiu. Kiekvienas toks archyvas turi .bart failo plėtinį – būtent nuo jo ir kilo viruso pavadinimas. Pažeisto ir archyvuoto failo pavadinimas atrodo taip: pavyzdys.txt.bart.zip.
Svarbu: Mūsų duomenimis, įsibrovęs į kompiuterį, virusas pirmiausiai patikrina kompiuterio kalbos nustatymus ir tik tuomet pradeda duomenų kodavimo procedūrą. Jeigu virusas nustato, kad numatytoji kompiuterio kalba yra rusų, ukrainiečių arba baltarusių, virusas sustabdomas ir išdiegiamas. Priešingu atveju, jis tęsia savo veiklą.

Virusas taikosi į daugiau nei 160 skirtingų failų, todėl naivu tikėtis, kad po atakos liks bent vienas sveikas ir nepažeistas dokumentas, nuotrauka, garso ar vaizdo failas. Užšifravęs duomenis virusas elgiasi įprastai – jis pakeičia darbalaukio foną ir palieka išpirkos raštelį. Darbalaukio fonas pakeičiamas recover.bmp paveikslėliu, kuris yra identiškas tam, kurį pateikia Locky virusas. Įdomu tai, kad Bart virusas pateikia recover.txt išpirkos raštelį ne tik anglų, bet ir prancūzų, ispanų, vokiečių ir italų kalbomis. Raštelyje nurodoma, kad nukentėję asmenys gali prisijungti prie mokėjimo tinklalapio tik naudodamiesi TOR naršykle. Be to, šis tinklalapis yra labai panašus į Locky viruso, tačiau šiame siūloma įsigyti Bart Decryptor įrankį už 3 Bitkoinus (beveik 2000 eurų). Iš tiesų, prašoma išpirka yra milžiniška, todėl nerekomenduojame jos mokėti. Kibernetiniai nusikaltėliai gali nesuteikti reikiamo slaptažodžio, todėl siūlome pašalinti Bart virusą iš kompiuterio kuo greičiau. Geriausias būdas tai padaryti – pasinaudoti patikima antivirusine programa, pavyzdžiui, FortectIntego.
Ar įmanoma atkurti failus, turinčius .Bart.zip failo plėtinį?
Locky viruso kūrėjai žino, ką daro. Juk jie sukūrė sėkmingiausią ir stipriausią virusą istorijoje, o tai reiškia, kad naujasis jų virusas yra ne ką silpnesnis nei ankstesni. Tačiau kaip bebūtų keista, kibernetinio saugumo specialistams pavyko perprasti Bart kodą ir sukurti failų atkodavimo įrankį, kurį galite parsisiųsti čia. Bet prieš imdamiesi duomenų atkūrimo, nepamirškite pašalinti viruso.
Deja, kitų viruso versijų palaužti nepavyko, todėl duomenis įmanoma atkurti tik tokiu atveju, jeigu turite atsargines jų kopijas. Tačiau itin maža dalis kompiuterių naudotojų jas turi. Norime priminti, kad itin svarbu daryti atsargines duomenų kopijas reguliariai, kadangi ransomware virusų atakos tapo itin dažnos. Jeigu turite atsargines kopijas, jums reikia pašalinti virusą, o tuomet prijungti išorinę laikmeną ir perkelti duomenis.
Bart viruso versijos:
Bart v2.0 ransomware. Kai tyrėjams pavyko sukurti įrankį, leidžiantį atkurti Bart viruso pažeistus failus, hakeriai jį atnaujino. Deja, tyrėjams kol kas nepavyko sukurti nemokamo duomenų atkodavimo įrankio, tad šiuo atveju gali pagelbėti tik atsarginės duomenų kopijos. Naujoji viruso versija nebearchyvuoja duomenų, o juos užkoduoja, pridedama .bart2 plėtinį į kiekvieną pažeistą failą. Tuomet virusas pateikia išpirkos raštelį, kuriame nukentėjusiems siūloma įsigyti duomenis atkoduojantį įrankį.
Perl ransomware virus. Tai naujausia Bart viruso versija, tačiau ji mažai kuo skiriasi nuo ankstesnės. Vienas akivaizdžiausių skirtumų yra naujas failo plėtinys. Į pažeistus failus virusas įterpia .perl plėtinį. Sukčiai ir toliau reikalauja sumokėti išpirką ir taip susigrąžinti prarastus duomenis. Pateiktame išpirkos raštelyje nurodama, kaip pervesti pinigus ir įsigyti duomenų atkodavimo įrankį. Tačiau mes norime paraginti jus nešvaistyti pinigų veltui ir neremti nusikaltėlių.
Kaip plinta Bart ransomware virusas?
Virusas plinta užkrėstais elektroniniais laiškais, kuriuose pridedamas .zip failas. Įprastai pavojingas laiškas turi antraštę „Pictures“, o jame pridėti failai yra pavadinami image.zip, picture.zip, photos.zip ir pan. Šiuose archyvuose yra JavaScript kodas. Vartotojui jį atidarius, įdiegiamas RockLoader įrankis, kuris aktyvuoja Bart virusą. Tuomet virusas pradeda duomenų kodavimą. Jeigu norite išvengti šio viruso, turite neatidaryti įtartinų laiškų, kuriuos siunčia nežinomi siuntėjai ar kompanijos. Taip pat patariame apsaugoti kompiuterį įdiegiant patikimą antivirusinę programą.
Viruso pašalinimo būdai
Bart virusas yra itin pavojingas, todėl negalima mėginti juo atsikratyti rankiniu būdu. Šį metodą gali taikyti tik patyrę IT specialistai, kadangi reikia pašalinti visus su virusu susijusius komponentus. Geriausia išeitis pašalinti Bart virusą – pasitelkti antivirusinę programą. Rekomenduojame naudoti FortectIntego, SpyHunterCombo Cleaner arba MalwarebytesMalwarebytes. Tačiau virusas gali blokuoti antivirusinę programą, todėl susidūrę su sunkumais, pasinaudokite mūsų parengtomis instrukcijomis straipsnio pabaigoje.
Ar ši instrukcija buvo naudinga?
Būkite pirmas pakomentavęs