在上周四，一个新的Dharma勒索软件变种被发现，它会将.cmb扩展名附加到每一个被加密文件的文件名末尾。

这个变种最初是由Michael Gillespie发现的，当时他注意到样本被上传到ID Ransomware。在发推文之后，另一名安全研究员Jakub Kroustek 对这一发现进行了肯定，并在回复中列出了样本的哈希值。

本文将概述这个勒索软件家族是如何感染计算机的、在感染了这个Dharma Cmb之后会发生什么，以及如何保护自己。需要指出的是，目前还没有办法来免费解密被Dharma Cmb加密的文件。

通过被劫持的远程桌面服务传播

Dharma勒索软件家族，包括这个新发布的Cmb变种，都是在攻击者劫持远程桌面协议服务（RDP）并入侵计算机之后被手动安装的。具体来讲，攻击者首先会在互联网上扫描运行RDP的计算机，通常是在TCP端口3389上，然后尝试暴力破解计算机的密码。

一旦他们获得了对计算机的访问权限，他们就会安装勒索软件并让它加密计算机。如果在本地网络中还存在其他计算机，攻击者同样会尝试暴力破解密码以及安装勒索软件。

Dharma Cmb如何加密计算机文件

在Dharma Cmb安装完成之后，它将扫描计算机中的文件并对其进行加密。在加密文件时，它会在原始文件名的末尾附加一个扩展名，格式为“.id-[id号].[电子邮箱地址].cmb”。例如，一个原始文件名test.jpg的文件在被加密后，它会被重命名为test.jpg.id-BCBEF350.[paymentbtc@firemail.cc] .cmb。

应该注意的是，这个勒索软件也会加密映射的网络驱动器、共享虚拟机主机驱动器和未映射的网络共享。因此，确保你的网络共享被锁定是非常重要的，这样只有那些真正需要访问的人才能获得权限。

在加密文件时，勒索软件会在受感染的计算机上创建两个不同的赎金票据。其中一个是名为“ Info.hta”的HTA文件，会在用户登录到计算机时自动运行并显示内容。

另一个是一个名为“FILES ENCRYPTED.txt ”文本文件，可以在桌面上找到。

虽然文件名和文件格式不同，但它们的最终目的都一样——告诉受害者“你的文件已经被加密”、以及如何联系攻击者以获取付款说明。

最后需要指出的是，这个勒索软件会在你登录到Windows时自动启动。这意味着，任何在上一次关机前创建的新文件都会下一次开机时被加密。

如何保护自己免受Dharma Cmb的侵害

为了保护自己免受Dharma Cmb或者其他任何勒索软件的侵害，建立良好的计算机使用习惯以及安装实用的安全软件非常重要。另外，你应该不定期地创建可靠且经过测试的数据备份，以便在紧急情况下（如遭遇勒索软件攻击）用于数据恢复。

由于Dharma勒索软件通常是通过劫持远程桌面服务来安装的，因此确保正确锁定它是非常重要的。例如，确保运行远程桌面服务的计算机不是直接连接到互联网，而是将它们放在VPN后面，这可以确保只有拥有VPN帐户的人才能访问它们。

另外，由于攻击涉及到通过暴力破解密码来登录计算机，因此养成良好的密码使用习惯显然也是必要的。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。