如何保护自己的网站免受Dharma Brrr变种的侵害

黑客视界
黑客视界
科技是把双刃剑,既有利,也有弊。随着科技的不断发展,很多黑客利用高科技手段攻击他人网站进行勒索钱财。因此,为了保护自己的网站不受勒索病毒侵害,我们应建立良好的计算机使用习惯及安装实用的安全软件。 安...

科技是把双刃剑,既有利,也有弊。随着科技的不断发展,很多黑客利用高科技手段攻击他人网站进行勒索钱财。因此,为了保护自己的网站不受勒索病毒侵害,我们应建立良好的计算机使用习惯及安装实用的安全软件。

安全专家Lawrence Abrams于上周六(9月15日)发表的一篇文章中指出,Dharma勒索软件的一个新变种已经发布了,会在完成对文件的加密之后附加一个.Brrr拓展名。根据Lawrence Abrams的说法,这个变种最初是由捷克安全软件公司Avast的恶意软件分析师Jakub Kroustek发现的,他通过Twitter分享了一个提交到VirusTotal上的Dharma样本的链接。

在Lawrence Abrams发表的文章中,他对勒索软件如何感染计算机、在文件被加密后会发生什么,以及如何保护自己做出了讲述。并表示,到目前为止还没有可用的免费解密方法及工具被发布。

勒索软件通过被劫持的远程桌面服务传播

Dharma勒索软件家族,包括这个最新的Brrr变种,都是通过被劫持的远程桌面服务(RDP)来手动安装的。攻击者首先会通过扫描整个互联网来发现那些开启了RDP的计算机,通常在TCP端口3389上,然后通过暴力破解进行强行登陆。

除此之外,通过我们之前的报道,大家可能也知道,有大量的已知凭证在暗网被出售,它们完全可以用于访问那些开启了RDP的计算机,而攻击者的花费可能仅仅是几美元而已。

一旦攻击者成功登陆到了目标计算机,他们便会开始安装Dharma勒索软件,并让它加密计算机中的文件。如果攻击者还能够登陆到同一网络中的其他计算机,他们当然不会放过这样的机会。

Dharma Brrr变种如何加密计算机中的文件

当Brrr变种被成功安装到受感染计算机上之后,它将扫描文件并加密。在对一个文件进行加密时,它将以“.id-[id].[email].brrr”的格式附加一个扩展名。例如,一个名为“test.jpg”的文件在被加密之后,它的文件名将被重命名为“test.jpg.id- bcbef350.[paydecryption@qq.com].brrr”。

需要注意的是,这个勒索软件将加密所有的映射网络驱动器、共享虚拟机主机驱动器和未映射网络共享。因此,确保你的网络共享被锁定是非常重要的,这样只有那些真正需要访问的人才能获得权限。

以下是一个由Dharma Brrr变种加密的文件夹的示例。

在加密文件时,勒索软件会在受感染的计算机上创建两个不同的赎金票据。其中一个是名为“Info.hta”的HTA文件,会在用户登录到计算机时自动运行并显示内容。

.

另一个是一个名为“FILES ENCRYPTED.txt ”文本文件,可以在桌面上找到。

其中,我们可以看到攻击者使用了QQ电子邮箱——paydecryption@qq.com,以供受害者与其取得联系。

最后需要指出的是,这个勒索软件会在你登录到Windows时自行启动。这意味着,任何在上一次关机之前创建的新文件都会在下一次开机时被加密。

如何保护自己免受Dharma Brrr变种的侵害

为了保护自己免受Dharma Brrr或者其他任何勒索软件的侵害,建立良好的计算机使用习惯以及安装实用的安全软件非常重要。另外,你应该不定期地创建可靠且经过测试的数据备份,以便在紧急情况下(如遭遇勒索软件攻击)用于数据恢复。

由于Dharma勒索软件通常都是通过劫持远程桌面服务来安装的,因此确保正确锁定它是非常重要的。例如,确保运行远程桌面服务的计算机不是直接连接到互联网,而是将它们放在VPN后面,这可以确保只有拥有VPN帐户的人才能访问它们。

另外,由于攻击涉及到通过暴力破解密码来登录计算机,因此养成良好的密码使用习惯显然也是必要的。

(原标题:Dharma勒索软件新变种发布,黑客通过QQ邮箱收取赎金)

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论