黑客通过QQ邮箱收取赎金 Dharma新型勒索软件发布

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

黑客通过QQ邮箱收取赎金 Dharma新型勒索软件发布

安全专家Lawrence Abrams于上周六(9月15日)发表的一篇文章中指出,Dharma勒索软件的一个新变种已经发布了,会在完成对文件的加密之后附加一个.Brrr拓展名。根据Lawrence Abrams的说法,这个变种最初是由捷克安全软件公司Avast的恶意软件分析师Jakub Kroustek发现的,他通过Twitter分享了一个提交到VirusTotal上的Dharma样本的链接。

在Lawrence Abrams发表的文章中,他对勒索软件如何感染计算机、在文件被加密后会发生什么,以及如何保护自己做出了讲述。并表示,到目前为止还没有可用的免费解密方法及工具被发布。

勒索软件通过被劫持的远程桌面服务传播

Dharma勒索软件家族,包括这个最新的Brrr变种,都是通过被劫持的远程桌面服务(RDP)来手动安装的。攻击者首先会通过扫描整个互联网来发现那些开启了RDP的计算机,通常在TCP端口3389上,然后通过暴力破解进行强行登陆。

除此之外,通过我们之前的报道,大家可能也知道,有大量的已知凭证在暗网被出售,它们完全可以用于访问那些开启了RDP的计算机,而攻击者的花费可能仅仅是几美元而已。

一旦攻击者成功登陆到了目标计算机,他们便会开始安装Dharma勒索软件,并让它加密计算机中的文件。如果攻击者还能够登陆到同一网络中的其他计算机,他们当然不会放过这样的机会。

Dharma Brrr变种如何加密计算机中的文件

当Brrr变种被成功安装到受感染计算机上之后,它将扫描文件并加密。在对一个文件进行加密时,它将以“.id-[id].[email].brrr”的格式附加一个扩展名。例如,一个名为“test.jpg”的文件在被加密之后,它的文件名将被重命名为“test.jpg.id- bcbef350.[paydecryption@qq.com].brrr”。

需要注意的是,这个勒索软件将加密所有的映射网络驱动器、共享虚拟机主机驱动器和未映射网络共享。因此,确保你的网络共享被锁定是非常重要的,这样只有那些真正需要访问的人才能获得权限。

在加密文件时,勒索软件会在受感染的计算机上创建两个不同的赎金票据。其中一个是名为“Info.hta”的HTA文件,会在用户登录到计算机时自动运行并显示内容。

另一个是一个名为“FILES ENCRYPTED.txt ”文本文件,可以在桌面上找到。

其中,我们可以看到攻击者使用了QQ电子邮箱——paydecryption@qq.com,以供受害者与其取得联系。

最后需要指出的是,这个勒索软件会在你登录到Windows时自行启动。这意味着,任何在上一次关机之前创建的新文件都会在下一次开机时被加密。

如何保护自己免受Dharma Brrr变种的侵害

为了保护自己免受Dharma Brrr或者其他任何勒索软件的侵害,建立良好的计算机使用习惯以及安装实用的安全软件非常重要。另外,你应该不定期地创建可靠且经过测试的数据备份,以便在紧急情况下(如遭遇勒索软件攻击)用于数据恢复。

由于Dharma勒索软件通常都是通过劫持远程桌面服务来安装的,因此确保正确锁定它是非常重要的。例如,确保运行远程桌面服务的计算机不是直接连接到互联网,而是将它们放在VPN后面,这可以确保只有拥有VPN帐户的人才能访问它们。

另外,由于攻击涉及到通过暴力破解密码来登录计算机,因此养成良好的密码使用习惯显然也是必要的。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: