海外に、メールセキュリティ製品に特化した、Proofpointという会社があるのですがブログで、新しいBartというマルウェアの動きがまとめられていたのでご紹介します。

Doh! New “Bart” Ransomware from Threat Actors Spreading Dridex and Locky
https://goo.gl/vxb9Pz
（リンク先に、Lockyに似た感染画面などがあります）

Bart概要

・Bartは、今現在も猛威を振るっている有名なランサムウェアLockyと、不正出金マルウェアDridexの作者が、作成したもの。
・Photos.zipなどの添付ファイルを本文なしで送ってくる手段がほとんど　（6/29に自身にも届いていました。）

・表示される脅迫文などはLockyの画面と酷似している（作者が同じため）
・Lockyでは、暗号化される直前に、C&Cサーバ（司令サーバ）との通信が必要だったが、Bartでは、必要なく暗号化を始める。
・要求金額が、Locky初期の0.5ビットコインから、Bartでは4ビットコインに値上がりしている
（最近のLockyの相場が2ビットコイン 1BC = ¥66,372 07/11時点）

たまたま届いていたので中身を開けてみました。

Zipファイルを解凍してみると、右ファイルのような、jsコードが出てきました。

各種、エンドポイントセキュリティソフトでも、他のランサムウェアを呼び込むダウンローダー型マルウェアのNemucodとして検知はされていました。
（すり抜けるものもあるとは思います）
また、最近js難読化がされていることが多く。テキストエディタで開いてもそれらしい記述を見つけることが難しかったのですが、今回は（画像化しているので見ても安全です）

下記画像のように、”exe”とはっきりかかれているものもあるようです。（ひょっとすると、これ自体もフェイクかもしれませんが）

jsファイルを実行しましたが、jsコードがbartに感染するために接続する先が、既に撤退していました。

Check Point社 対応

Check Point社 の IPS, Anti-Virus , Anti-Bot 機能で
・Trojan-Ransom.Win32.Locky
・Trojan-downloader.Win32.Locky
・Trojan.Win32.Dridex
・Operator.Dridex

について対応しているということで、従来の不正出金マルウェアDridex、ランサムウェアLockyと　コードが似ているため、従来の定義と一緒の区分で検知をしているようです。