如何保護(hù)自己的網(wǎng)站免受Dharma Brrr變種的侵害

黑客視界
黑客視界
科技是把雙刃劍,既有利,也有弊。隨著科技的不斷發(fā)展,很多黑客利用高科技手段攻擊他人網(wǎng)站進(jìn)行勒索錢財(cái)。因此,為了保護(hù)自己的網(wǎng)站不受勒索病毒侵害,我們應(yīng)建立良好的計(jì)算機(jī)使用習(xí)慣及安裝實(shí)用的安全軟件。 安...

科技是把雙刃劍,既有利,也有弊。隨著科技的不斷發(fā)展,很多黑客利用高科技手段攻擊他人網(wǎng)站進(jìn)行勒索錢財(cái)。因此,為了保護(hù)自己的網(wǎng)站不受勒索病毒侵害,我們應(yīng)建立良好的計(jì)算機(jī)使用習(xí)慣及安裝實(shí)用的安全軟件。

安全專家Lawrence Abrams于上周六(9月15日)發(fā)表的一篇文章中指出,Dharma勒索軟件的一個(gè)新變種已經(jīng)發(fā)布了,會(huì)在完成對(duì)文件的加密之后附加一個(gè).Brrr拓展名。根據(jù)Lawrence Abrams的說(shuō)法,這個(gè)變種最初是由捷克安全軟件公司Avast的惡意軟件分析師Jakub Kroustek發(fā)現(xiàn)的,他通過(guò)Twitter分享了一個(gè)提交到VirusTotal上的Dharma樣本的鏈接。

在Lawrence Abrams發(fā)表的文章中,他對(duì)勒索軟件如何感染計(jì)算機(jī)、在文件被加密后會(huì)發(fā)生什么,以及如何保護(hù)自己做出了講述。并表示,到目前為止還沒(méi)有可用的免費(fèi)解密方法及工具被發(fā)布。

勒索軟件通過(guò)被劫持的遠(yuǎn)程桌面服務(wù)傳播

Dharma勒索軟件家族,包括這個(gè)最新的Brrr變種,都是通過(guò)被劫持的遠(yuǎn)程桌面服務(wù)(RDP)來(lái)手動(dòng)安裝的。攻擊者首先會(huì)通過(guò)掃描整個(gè)互聯(lián)網(wǎng)來(lái)發(fā)現(xiàn)那些開(kāi)啟了RDP的計(jì)算機(jī),通常在TCP端口3389上,然后通過(guò)暴力破解進(jìn)行強(qiáng)行登陸。

除此之外,通過(guò)我們之前的報(bào)道,大家可能也知道,有大量的已知憑證在暗網(wǎng)被出售,它們完全可以用于訪問(wèn)那些開(kāi)啟了RDP的計(jì)算機(jī),而攻擊者的花費(fèi)可能僅僅是幾美元而已。

一旦攻擊者成功登陸到了目標(biāo)計(jì)算機(jī),他們便會(huì)開(kāi)始安裝Dharma勒索軟件,并讓它加密計(jì)算機(jī)中的文件。如果攻擊者還能夠登陸到同一網(wǎng)絡(luò)中的其他計(jì)算機(jī),他們當(dāng)然不會(huì)放過(guò)這樣的機(jī)會(huì)。

Dharma Brrr變種如何加密計(jì)算機(jī)中的文件

當(dāng)Brrr變種被成功安裝到受感染計(jì)算機(jī)上之后,它將掃描文件并加密。在對(duì)一個(gè)文件進(jìn)行加密時(shí),它將以“.id-[id].[email].brrr”的格式附加一個(gè)擴(kuò)展名。例如,一個(gè)名為“test.jpg”的文件在被加密之后,它的文件名將被重命名為“test.jpg.id- bcbef350.[paydecryption@qq.com].brrr”。

需要注意的是,這個(gè)勒索軟件將加密所有的映射網(wǎng)絡(luò)驅(qū)動(dòng)器、共享虛擬機(jī)主機(jī)驅(qū)動(dòng)器和未映射網(wǎng)絡(luò)共享。因此,確保你的網(wǎng)絡(luò)共享被鎖定是非常重要的,這樣只有那些真正需要訪問(wèn)的人才能獲得權(quán)限。

以下是一個(gè)由Dharma Brrr變種加密的文件夾的示例。

在加密文件時(shí),勒索軟件會(huì)在受感染的計(jì)算機(jī)上創(chuàng)建兩個(gè)不同的贖金票據(jù)。其中一個(gè)是名為“Info.hta”的HTA文件,會(huì)在用戶登錄到計(jì)算機(jī)時(shí)自動(dòng)運(yùn)行并顯示內(nèi)容。

.

另一個(gè)是一個(gè)名為“FILES ENCRYPTED.txt ”文本文件,可以在桌面上找到。

其中,我們可以看到攻擊者使用了QQ電子郵箱——paydecryption@qq.com,以供受害者與其取得聯(lián)系。

最后需要指出的是,這個(gè)勒索軟件會(huì)在你登錄到Windows時(shí)自行啟動(dòng)。這意味著,任何在上一次關(guān)機(jī)之前創(chuàng)建的新文件都會(huì)在下一次開(kāi)機(jī)時(shí)被加密。

如何保護(hù)自己免受Dharma Brrr變種的侵害

為了保護(hù)自己免受Dharma Brrr或者其他任何勒索軟件的侵害,建立良好的計(jì)算機(jī)使用習(xí)慣以及安裝實(shí)用的安全軟件非常重要。另外,你應(yīng)該不定期地創(chuàng)建可靠且經(jīng)過(guò)測(cè)試的數(shù)據(jù)備份,以便在緊急情況下(如遭遇勒索軟件攻擊)用于數(shù)據(jù)恢復(fù)。

由于Dharma勒索軟件通常都是通過(guò)劫持遠(yuǎn)程桌面服務(wù)來(lái)安裝的,因此確保正確鎖定它是非常重要的。例如,確保運(yùn)行遠(yuǎn)程桌面服務(wù)的計(jì)算機(jī)不是直接連接到互聯(lián)網(wǎng),而是將它們放在VPN后面,這可以確保只有擁有VPN帳戶的人才能訪問(wèn)它們。

另外,由于攻擊涉及到通過(guò)暴力破解密碼來(lái)登錄計(jì)算機(jī),因此養(yǎng)成良好的密碼使用習(xí)慣顯然也是必要的。

(原標(biāo)題:Dharma勒索軟件新變種發(fā)布,黑客通過(guò)QQ郵箱收取贖金)

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論

本月熱門

精選文章

熱點(diǎn)資訊