Dharma勒索软件新变种:劫持远程桌面服务传播
- A
Dharma勒索软件新变种在上周三四被发现,通过远程桌面服务传播,会将.cmb扩展名附加到每个被加密文件名末尾。
据悉,该变种最初由Michael Gillespie发现并将样本上传到ID Ransomware,他的推文得到另一位安全人员的肯定。
目前被这款Dharma勒索软件新变种病毒加密的文件,也就是被Dharma Cmb加密的文件是根本无法免费解密出来的。
众所周知,Dharma勒索软件家族都是攻击者劫持远程桌面协议,劫持计算机后手动安装的,包括新发现的变种软件。
攻击者不仅能扫描并暴力破解互联网上运行RDP的计算机,还能暴力破解本地网络中的其他计算机并安装勒索软件。
一旦Dharma Cmb安装完成,就会对计算机中的文件扫描并加密,然后,在原始文件名的末尾附加一个新的扩展名。
除此之外,这款强大的勒索软件还能够加密映射的网络驱动、以及共享虚拟机的主机驱动,甚至未映射的网络共享。
当然了,该勒索软件还能够加密新文件,也就是说即便你登录设备后创建了新文件,关机重启后依旧会被成功加密。
勒索软件加密文件后会在设备上创建不同的赎金票据,一个在用户登录计算机时自动运行并显示,另一个在桌面上。
赎金票据中显示有攻击者的联系方式、以及获取付款的相关说明,被勒索的用户目前只能通过付款的方式解密文件。
由于Dharma勒索软件家族通过劫持桌面服务手动安装,因此确保运行远程桌面的计算机不直接连接互联网至关重要。
另外,及时的、多的备份数据的习惯一定不能忘,而且还需要给自己的设备设定强大的密码,防止被黑客暴力破解。