一個新的Dharma Ransomware變種，它將.brrr副檔名附加到加密檔案中

下面我將會介紹勒索病毒如何感染計算機，檔案加密後會發生什麼，以及如何保護自己。

通過***遠端桌面服務分發

Dharma Ransomware系列（包括此Brrr變體）由***直接連線到Internet的遠端桌面服務的***者手動安裝。這些***者將在Internet上掃描執行RDP的計算機，通常是在TCP埠3389上，。

還有一些地下站點出售已知的憑據，用於執行遠端桌面服務的可公開訪問的計算機，***者可以購買。

一旦他們獲得對計算機的訪問許可權，他們就會安裝勒索軟體並讓它加密計算機。如果***者能夠加密網路上的其他計算機，他們也會嘗試這樣做。

.Brrr Dharma Ransomware如何加密計算機

當Brrr勒索軟體變種安裝在計算機上時，它會掃描檔案並加密它們。加密檔案時，它會附加.id- [id].[email] .brrr格式的副檔名。例如，一個名為test.jpg放在將被加密，並且重新命名為  test.jpg.id-BCBEF350.[[email protected]].brrr。

應該注意的是，這個勒索軟體將加密對映的網路驅動器，共享虛擬機器主機驅動器和未對映的網路共享。因此，確保您的網路共享被鎖定非常重要，這樣只有那些真正需要訪問許可權的人才有許可權。

您可以在下面看到由Brrr Ransomware變體加密的資料夾示例

加密檔案時，勒索軟體會在受感染的計算機上建立兩個不同的勒索筆記。一個是 Info.hta檔案，還有一個HTML版本。另一個註釋叫做FILES ENCRYPTED.txt  ，可以在桌面上找到

這兩個贖金票據都包含如何聯絡[email protected]以獲取付款指示的資訊

最後，勒索軟體將自行配置為在您登入Windows時自動啟動。這允許它加密自上次執行以來建立的新檔案。

如何保護自己免受Dharma Brrr Ransomware的傷害

為了保護自己免受佛法或任何勒索軟體的侵害，使用良好的計算習慣和安全軟體非常重要。首先，您應始終擁有可靠且經過測試的資料備份，以便在緊急情況下（例如勒索軟體***）可以恢復。

由於Dharma Ransomware通常是通過***遠端桌面服務安裝的，因此確保正確鎖定它是非常重要的。這包括確保沒有執行遠端桌面服務的計算機直接連線到Internet。而是將執行遠端桌面的計算機放在×××後面，以便只有在網路上擁有×××帳戶的人才能訪問它們。

設定正確的帳戶鎖定策略也很重要，這樣會使帳戶難以通過遠端桌面服務進行強制***

您還應該擁有安全軟體，其中包含行為檢測以對抗勒索軟體，而不僅僅是簽名檢測或啟發式方法。

最後，但並非最不重要的是，確保您練習以下良好的線上安全習慣，這在很多情況下是最重要的步驟：

• 備份，備份，備份！

• 如果您不知道是誰傳送了附件，請不要開啟附件。

• 在您確認該人實際向您傳送附件之前，請勿開啟附件

• 使用VirusTotal等工具掃描附件。

• 確保所有Windows更新一出現就立即安裝！還要確保更新所有程式，尤其是Java，Flash和Adobe Reader。較舊的程式包含惡意軟體分發者通常利用的安全漏洞。因此，更新它們非常重要。

• 確保使用安裝了某種安全軟體。

• 使用硬密碼，不要在多個站點重複使用相同的密碼。

• 如果您使用的是遠端桌面服務，請不要將其直接連線到Internet。而是僅通過×××訪問它。

瞭解如何刪除.Ox4444勒索病毒 .Ox4444資料恢復，可參照連結

關注服務號，交流更多解密檔案方案和恢復方案：