Dharma勒索软件新变种:劫持远程桌面服务传播

Dharma勒索软件新变种在上周三四被发现,通过远程桌面服务传播,会将.cmb扩展名附加到每个被加密文件名末尾。

据悉,该变种最初由Michael Gillespie发现并将样本上传到ID Ransomware,他的推文得到另一位安全人员的肯定。

目前被这款Dharma勒索软件新变种病毒加密的文件,也就是被Dharma Cmb加密的文件是根本无法免费解密出来的。

Dharma勒索软件新变种:劫持远程桌面服务传播

众所周知,Dharma勒索软件家族都是攻击者劫持远程桌面协议,劫持计算机后手动安装的,包括新发现的变种软件。

攻击者不仅能扫描并暴力破解互联网上运行RDP的计算机,还能暴力破解本地网络中的其他计算机并安装勒索软件。

一旦Dharma Cmb安装完成,就会对计算机中的文件扫描并加密,然后,在原始文件名的末尾附加一个新的扩展名。

Dharma勒索软件新变种:劫持远程桌面服务传播

除此之外,这款强大的勒索软件还能够加密映射的网络驱动、以及共享虚拟机的主机驱动,甚至未映射的网络共享。

当然了,该勒索软件还能够加密新文件,也就是说即便你登录设备后创建了新文件,关机重启后依旧会被成功加密。

勒索软件加密文件后会在设备上创建不同的赎金票据,一个在用户登录计算机时自动运行并显示,另一个在桌面上。

Dharma勒索软件新变种:劫持远程桌面服务传播

赎金票据中显示有攻击者的联系方式、以及获取付款的相关说明,被勒索的用户目前只能通过付款的方式解密文件。

由于Dharma勒索软件家族通过劫持桌面服务手动安装,因此确保运行远程桌面的计算机不直接连接互联网至关重要。

另外,及时的、多的备份数据的习惯一定不能忘,而且还需要给自己的设备设定强大的密码,防止被黑客暴力破解。

本文最后更新于2018-08-16 23:10,如存在内容或图片失效,请留言反馈,我们会及时处理,谢谢!
文章来源:栋科技
版权链接:Dharma勒索软件新变种:劫持远程桌面服务传播
正文到此结束
EMLOG

热门推荐