1. 程式人生 > >.Brrr勒索病毒資料恢復 新的Dharma家族成員

.Brrr勒索病毒資料恢復 新的Dharma家族成員


image.png

一個新的Dharma Ransomware變種,它將.brrr副檔名附加到加密檔案中


下面我將會介紹勒索病毒如何感染計算機,檔案加密後會發生什麼,以及如何保護自己。


通過***遠端桌面服務分發

Dharma Ransomware系列(包括此Brrr變體)由***直接連線到Internet的遠端桌面服務的***者手動安裝。這些***者將在Internet上掃描執行RDP的計算機,通常是在TCP埠3389上,。

還有一些地下站點出售已知的憑據,用於執行遠端桌面服務的可公開訪問的計算機,***者可以購買。

一旦他們獲得對計算機的訪問許可權,他們就會安裝勒索軟體並讓它加密計算機。如果***者能夠加密網路上的其他計算機,他們也會嘗試這樣做。


.Brrr Dharma Ransomware如何加密計算機

當Brrr勒索軟體變種安裝在計算機上時,它會掃描檔案並加密它們。加密檔案時,它會附加.id- [id].[email] .brrr格式的副檔名。例如,一個名為test.jpg放在將被加密,並且重新命名為  test.jpg.id-BCBEF350.[[email protected]].brrr

應該注意的是,這個勒索軟體將加密對映的網路驅動器,共享虛擬機器主機驅動器和未對映的網路共享。因此,確保您的網路共享被鎖定非常重要,這樣只有那些真正需要訪問許可權的人才有許可權。

您可以在下面看到由Brrr Ransomware變體加密的資料夾示例

image.png

加密檔案時,勒索軟體會在受感染的計算機上建立兩個不同的勒索筆記。一個是 Info.hta檔案,還有一個HTML版本。另一個註釋叫做FILES ENCRYPTED.txt  ,可以在桌面上找到

image.png

這兩個贖金票據都包含如何聯絡[email protected]以獲取付款指示的資訊

最後,勒索軟體將自行配置為在您登入Windows時自動啟動。這允許它加密自上次執行以來建立的新檔案。


如何保護自己免受Dharma Brrr Ransomware的傷害

為了保護自己免受佛法或任何勒索軟體的侵害,使用良好的計算習慣和安全軟體非常重要。首先,您應始終擁有可靠且經過測試的資料備份,以便在緊急情況下(例如勒索軟體***)可以恢復。

由於Dharma Ransomware通常是通過***遠端桌面服務安裝的,因此確保正確鎖定它是非常重要的。這包括確保沒有執行遠端桌面服務的計算機直接連線到Internet。而是將執行遠端桌面的計算機放在×××後面,以便只有在網路上擁有×××帳戶的人才能訪問它們。

設定正確的帳戶鎖定策略也很重要,這樣會使帳戶難以通過遠端桌面服務進行強制***

您還應該擁有安全軟體,其中包含行為檢測以對抗勒索軟體,而不僅僅是簽名檢測或啟發式方法。

最後,但並非最不重要的是,確保您練習以下良好的線上安全習慣,這在很多情況下是最重要的步驟:

  • 備份,備份,備份!

  • 如果您不知道是誰傳送了附件,請不要開啟附件。

  • 在您確認該人實際向您傳送附件之前,請勿開啟附件

  • 使用VirusTotal等工具掃描附件。

  • 確保所有Windows更新一出現就立即安裝!還要確保更新所有程式,尤其是Java,Flash和Adobe Reader。較舊的程式包含惡意軟體分發者通常利用的安全漏洞。因此,更新它們非常重要。

  • 確保使用安裝了某種安全軟體。

  • 使用硬密碼,不要在多個站點重複使用相同的密碼。

  • 如果您使用的是遠端桌面服務,請不要將其直接連線到Internet。而是僅通過×××訪問它。


瞭解如何刪除.Ox4444勒索病毒 .Ox4444資料恢復,可參照連結

關注服務號,交流更多解密檔案方案和恢復方案:

.Ox4444勒索病毒删除 .Ox4444数据恢复