6月24日,来自Proofpoint网络安全公司的研究人员在邮件压缩文件附件检测到了这个不寻常的大型网络活动,其中包含有JavaScript代码。而一旦这些代码开始执行,RockLoader就开始接管电脑,它将会自动将Bart勒索软件下载到感染者的电脑中。
Proofpoint发现,这些恶意软件附件一般都会以文件压缩包的形式出现,它们常用的名字有photos.zip、image.zip、Photos.zip、photo.zip、Photo.zip、picture.zip等。另外,压缩包中还会有一个类似于PDF_123456789.js的文件,用户乍一看以为是一个普通的PDF文件,而实际上它是作为JavaScript代码的一个扩展文件存在。所以很多时候,用户压根儿就没有注意到打开该文件的危险性。
一旦感染Bart之后,用户的电脑背景就会被锁定在恶意软件的锁屏界面,同时还会跳出一个recover.txt的窗口,里边包含有如何关掉该加密的方法--其实目的很明确,给3个比特币(大约为2000美元)就解密。
任何以.mp3、.mp4、.webp、.webp、.mov、.docx、.xlsx、.pptx、.pdf、.zip等后缀结尾的文件都将被犯罪分子锁定。一旦设备被加密,电脑界面就会跳出一个.bart.zip的扩展文件,上面列出了所有受影响的文件。
而在对感染者设备加密之前,Bart会先检测该设备所用语言。据了解,Bart“精通”意大利语、法语、德语、西班牙语。而如果系统语言是俄语、乌克兰语、白俄罗斯语的话,Bart就会终止加密。
目前,Proofpoint还在调查这一勒索软件的技术细节。