Dharma勒索软件新变种:劫持远程桌面服务传播 - 栋科技

Dharma勒索软件新变种在上周三四被发现，通过远程桌面服务传播，会将.cmb扩展名附加到每个被加密文件名末尾。

据悉，该变种最初由Michael Gillespie发现并将样本上传到ID Ransomware，他的推文得到另一位安全人员的肯定。

目前被这款Dharma勒索软件新变种病毒加密的文件，也就是被Dharma Cmb加密的文件是根本无法免费解密出来的。

众所周知，Dharma勒索软件家族都是攻击者劫持远程桌面协议，劫持计算机后手动安装的，包括新发现的变种软件。

攻击者不仅能扫描并暴力破解互联网上运行RDP的计算机，还能暴力破解本地网络中的其他计算机并安装勒索软件。

一旦Dharma Cmb安装完成，就会对计算机中的文件扫描并加密，然后，在原始文件名的末尾附加一个新的扩展名。

除此之外，这款强大的勒索软件还能够加密映射的网络驱动、以及共享虚拟机的主机驱动，甚至未映射的网络共享。

当然了，该勒索软件还能够加密新文件，也就是说即便你登录设备后创建了新文件，关机重启后依旧会被成功加密。

勒索软件加密文件后会在设备上创建不同的赎金票据，一个在用户登录计算机时自动运行并显示，另一个在桌面上。

赎金票据中显示有攻击者的联系方式、以及获取付款的相关说明，被勒索的用户目前只能通过付款的方式解密文件。

由于Dharma勒索软件家族通过劫持桌面服务手动安装，因此确保运行远程桌面的计算机不直接连接互联网至关重要。

另外，及时的、多的备份数据的习惯一定不能忘，而且还需要给自己的设备设定强大的密码，防止被黑客暴力破解。