国家计算机病毒应急处理中心通过对互联网的监测发现,近日出现勒索软件Dharma的新变种。
该勒索软件会将.cmb的扩展名附加到加密的文件中。攻击者首先使用TCP端口3389,通过远程桌面协议服务(RDP)入侵计算机,其后尝试暴力破解计算机的密码,一旦获得计算机权限,攻击者就会安装勒索软件以加密计算机,并尝试加密网络上的其他计算机。Dharma新变种是在原有基础上,在对文件进行加密时,会附加 .id-id.email.cmb格式的扩展名。其在加密文件时,此勒索软件会在受感染的计算机上创建两个不同的勒索赎金说明,一个为当用户登录到计算机时自动运行启动的Info.hta文件,另一个是安装在桌面上的FILES ENCRYPTED.txt文件,赎金说明中都包含获取付款指示的说明。此勒索软件还将对映射的网络驱动器、共享虚拟机主机驱动器和未映射的网络共享进行加密,以剥夺访问权限。同时,其还在用户登陆Windows时设置自动启动,这允许攻击者对用户创建的新文件进行加密。目前,仍没有有效的对此进行解密的方法。
针对该勒索软件Dharma的新变种所产生的危害,建议用户安装安全防护软件,并及时更新病毒库样本。同时,对计算机内重要的资料进行备份,不打开来历不明的电子邮件中的附件,以避免遭受该勒索软件的感染,造成严重的损失。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心