星期四,发现了一个新的Dharma Ransomware变种,它将.cmb扩展名附加到加密文件中。
Dharma Ransomware的Cmb变种最初是由Michael Gillespie发现的, 当时他注意到样本上传到ID Ransomware,在发推文之后, Jakub Kroustek 用散列回复了样本。
下面我概述了这个家庭如何感染计算机,当您感染Cmb变种时会发生什么,以及如何保护自己。
不幸的是,没有办法免费解密感染了Dharma Cmb Ransomware变种的文件。对于那些希望讨论此勒索软件或获得支持的人,您可以使用我们专门的Dharma Ransomware支持和帮助主题。
Dharma Ransomware系列,包括此Cmb变体,由攻击者通过远程桌面协议服务(RDP)入侵计算机手动安装。攻击者将在Internet上扫描运行RDP的计算机,通常是在TCP端口3389上,然后尝试强制计算机的密码。
一旦他们获得对计算机的访问权限,他们就会安装勒索软件并让它加密计算机。如果攻击者能够加密网络上的其他计算机,他们也会尝试这样做。
安装Cmb勒索软件变种后,它将扫描计算机中的文件并对其进行加密。加密文件时,它会附加.id- [id]。[email] .cmb格式的扩展名。例如,一个名为test.jpg放在将被加密,并且重命名为 test.jpg.id-BCBEF350。[paymentbtc@firemail.cc] .cmb。
应该注意的是,这个勒索软件将加密映射的网络驱动器,共享虚拟机主机驱动器和未映射的网络共享。因此,确保您的网络共享被锁定非常重要,这样只有那些真正需要访问权限的人才有权限。
您可以在下面看到由Cmb Ransomware变体加密的文件夹示例。
加密文件时,勒索软件会在受感染的计算机上创建两个不同的勒索笔记。一个是 Info.hta文件,当用户登录到计算机时由自动运行启动。
另一个注释叫做 FILES ENCRYPTED.txt ,可以在桌面上找到。
这两个赎金说明都包含联系paymentbtc@firemail.cc以获取付款指示的说明。
最后,勒索软件将自行配置为在您登录Windows时自动启动。这允许它加密自上次执行以来创建的新文件。
再次,此时无法解密感染Dharma Cmb Ransomware变种的文件是免费的。对于那些希望讨论此勒索软件或获得支持的人,您可以使用我们专门的Dharma Ransomware支持和帮助主题。
为了保护自己免受佛法或任何勒索软件的侵害,使用良好的计算习惯和安全软件非常重要。首先,您应始终拥有可靠且经过测试的数据备份,以便在紧急情况下(例如勒索软件攻击)可以恢复。
由于Dharma Ransomware通常是通过黑客远程桌面服务安装的,因此确保正确锁定它是非常重要的。这包括确保没有运行远程桌面服务的计算机直接连接到Internet。而是将运行远程桌面的计算机放在VPN后面,以便只有在网络上拥有VPN帐户的人才能访问它们。
设置正确的帐户锁定策略也很重要,这样会使帐户难以通过远程桌面服务进行强制攻击。
您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式扫描。例如, Emsisoft Anti-Malware 和 Malwarebytes Anti-Malware 都包含行为检测,可以防止许多(如果不是大多数)勒索软件感染加密计算机。
最后,但并非最不重要的是,确保您练习以下良好的在线安全习惯,这在很多情况下是最重要的步骤:
有关勒索软件保护的完整指南,请访问我们的“ 如何保护和强化计算机免受勒索 软件”一 文。
SHA256: c2ab289cbd2573572c39cac3f234d77fdf769e48a1715a14feddaea8ae9d9702
%Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
%Appdata%\Microsoft\Windows\Start Menu\Programs\Startup\cmb_ransomware.exe
%Appdata%\Info.hta
%UserProfile%\Desktop\FILES ENCRYPTED.txt
C:\Users\Public\Desktop\FILES ENCRYPTED.txt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmb_ransomware.exe C:\Windows\System32\cmb_ransomware.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\Windows\System32\Info.hta mshta.exe "C:\Windows\System32\Info.hta"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\%Appdata%\Info.hta mshta.exe "%Appdata%\Info.hta"
all your data has been locked us
You want to return?
write email paymentbtc@firemail.cc
paymentbtc@firemail.cc
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail paymentbtc@firemail.cc
Write this ID in the title of your message ACBFF130
In case of no answer in 24 hours write us to theese e-mails:paymentbtc@firemail.cc
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
领取专属 10元无门槛券
私享最新 技术干货