Dans la famille des menaces de type ransomware, le dénommé Bart a pour particularité de chiffrer des fichiers sur un ordinateur pris pour cible sans établir une connexion avec un centre de commande et contrôle pour générer des clés.

Ce ransomware a été pour la première fois découvert mi-2016. Une méthode de diffusion est la pièce jointe d'un email contenant du code JavaScript se trouvant dans une archive ZIP. Il pourrait être lié au célèbre Locky. Les traces de son action sont l'ajout d'une extension .bart.zip à la fin du nom des fichiers pris en otage. Des archives qui enferment le fichier d'origine.

Bart

En début d'année, Malwarebytes Labs a analysé Bart et a constaté les évolutions apportées par rapport aux premières versions, dont au niveau de sa procédure de chiffrement. Celle-ci avait des failles qui ont permis à AVG (Avast) de proposer un outil de déchiffrement s'appuyant sur des attaques par force brute. Il est devenu inefficace.

Bitdefender annonce aujourd'hui avoir mis au point un outil gratuit de déchiffrement qui fonctionne avec les dernières itérations du ransomware. Il est disponible sur le site de l'initiative No More Ransom qui n'en finit pas d'agrandir sa collection.

Bart_Ransomware_Decryption_Bitdefender

L'éditeur roumain de solutions de sécurité indique avoir collaboré avec Europol et la police roumaine. Une hypothèse est que des clés ont pu être obtenues dans le cadre d'une enquête. Pour autant, la mesure préventive de la sauvegarde des données demeure toujours d'actualité en matière de ransomwares.

D'après Kaspersky Lab, trois quarts des ransomwares l'année dernière ont été développés par des individus russophones.