在過去的幾個月裡，有新聞報道稱，一家頗受歡迎的啤酒廠遭到了勒索軟體的攻擊，而與此同時，一個主要的海港也遭遇了同樣的問題，導致進出港口的船隻受到影響。調查顯示，這兩起案件的罪魁禍首都是Dharma（也稱CrySiS）勒索軟體。

事實上，有很多Dharma勒索軟體變種在短時間內出現，伴隨而來的是一些新的副檔名，如.bip和.combo，以及最近的.gamma。

FortiGuard Labs表示，他們近幾年來一直在追蹤Dharma勒索軟體家族。雖然Dharma勒索軟體仍在繼續大肆傳播，但攻擊者實際上並沒有更新他們的操作模式，仍繼續依賴於一種已經被公開披露的策略來尋找並感染新的受害者，即利用RDP遠端桌面服務來實現對目標網路的訪問。

就像FortiGuard Labs在之前的報告中所介紹的那樣，RDP憑證可以很容易地在暗網上購買到，或者通過暴力破解來獲取。一旦通過身份驗證，Dharma攻擊者就可以對映硬碟遠端共享，或者使用剪貼簿來將惡意內容傳遞給受害者。在此之後，攻擊者就擁有了在網路中隨意移動所需的一切，以將勒索軟體傳播到其他伺服器或裝置上。

就在上週，FortiGuard Labs發現了一個新的Dharma勒索軟體變種。被它加密的檔案會附帶一個新的副檔名——.xxxxx或.like。然而，與以前的版本（例如.java、.bip、.combo、.arrow、.arena和.gamma）相比，這個新變種並不包括對程式碼的實質性升級，而只是使用不同的載入程式。

Dharma勒索軟體的第一個變種最早出現在2006年，並且一直定期更新持續至今。卡巴斯基和Eset曾聯合釋出過針對以前的變種免費解密工具。不幸的是，這個工具並不適用於由新的Dharma變種加密的檔案。

當這個新的Dharma變種安裝在受害者的計算機上時，它會根據需要從.data資源部分執行和解密資料。最初，使用RC4演算法加密整個.data部分，並在資料塊的開頭儲存128位元組的金鑰。然後，一步一步地使用金鑰來解密字串。首先，API名稱和地址被解密並存儲到堆疊中，然後載入。此外，它會解密用於刪除卷影副本、副檔名列表、攻擊者電子郵件地址、加密副檔名、贖金票據以及其他各種加密字串的命令。

然後，它會將自身配置為在使用者登入Windows時自行啟動。這允許它加密在上次執行後建立的新檔案。

再然後，它將使用以下命令呼叫cmd.exe來刪除卷影副本：vssadmin delete shadows /all /quiet。

它從對映驅動器開始，然後移動到作業系統驅動器的根目錄，並通過AES演算法的實現來加密檔案。在加密一個檔案時，它會附加“.id- [id].[電子郵件地址l] .xxx格式”的副檔名  。例如，一個名為“test.txt”的檔案在被加密之後，其檔名將被重新命名為  “test.txt.id-AC197B68.[[email protected]].combo”。

在檔案加密完成之後，它會在受害者的計算機上彈出兩個不同的贖金票據。一個是 Info.hta 檔案，當用戶登入到計算機時自行開啟。

另一個贖金票據名為“FILES ENCRYPTED.txt”，可以在桌面上找到。

FortiGuard Labs表示，Dharma勒索軟體一直位於它們的威脅名單上的首位。在過去6個月裡，超過25%的攻擊來自土耳其。

據知情人士透露，Dharma勒索軟體已經攻擊了100多個希臘網站。鑑於土耳其和希臘之間在愛琴海島嶼所有權上存在爭端，這似乎也表明勒索軟體不僅可用於經濟利益，同樣也可用於激進主義。