安全专家Lawrence Abrams于上周六（9月15日）发表的一篇文章中指出，Dharma勒索软件的一个新变种已经发布了，会在完成对文件的加密之后附加一个.Brrr拓展名。根据Lawrence Abrams的说法，这个变种最初是由捷克安全软件公司Avast的恶意软件分析师Jakub Kroustek发现的，他通过Twitter分享了一个提交到VirusTotal上的Dharma样本的链接。 [出自:jiwo.org]

在Lawrence Abrams发表的文章中，他对勒索软件如何感染计算机、在文件被加密后会发生什么，以及如何保护自己做出了讲述。并表示，到目前为止还没有可用的免费解密方法及工具被发布。

勒索软件通过被劫持的远程桌面服务传播

Dharma勒索软件家族，包括这个最新的Brrr变种，都是通过被劫持的远程桌面服务（RDP）来手动安装的。攻击者首先会通过扫描整个互联网来发现那些开启了RDP的计算机，通常在TCP端口3389上，然后通过暴力破解进行强行登陆。

除此之外，通过我们之前的报道，大家可能也知道，有大量的已知凭证在暗网被出售，它们完全可以用于访问那些开启了RDP的计算机，而攻击者的花费可能仅仅是几美元而已。

一旦攻击者成功登陆到了目标计算机，他们便会开始安装Dharma勒索软件，并让它加密计算机中的文件。如果攻击者还能够登陆到同一网络中的其他计算机，他们当然不会放过这样的机会。

Dharma Brrr变种如何加密计算机中的文件

当Brrr变种被成功安装到受感染计算机上之后，它将扫描文件并加密。在对一个文件进行加密时，它将以“.id-[id].[email].brrr”的格式附加一个扩展名。例如，一个名为“test.jpg”的文件在被加密之后，它的文件名将被重命名为“test.jpg.id- bcbef350.[paydecryption@qq.com].brrr”。

需要注意的是，这个勒索软件将加密所有的映射网络驱动器、共享虚拟机主机驱动器和未映射网络共享。因此，确保你的网络共享被锁定是非常重要的，这样只有那些真正需要访问的人才能获得权限。

以下是一个由Dharma Brrr变种加密的文件夹的示例。

在加密文件时，勒索软件会在受感染的计算机上创建两个不同的赎金票据。其中一个是名为“Info.hta”的HTA文件，会在用户登录到计算机时自动运行并显示内容。

另一个是一个名为“FILES ENCRYPTED.txt ”文本文件，可以在桌面上找到。

其中，我们可以看到攻击者使用了QQ电子邮箱——paydecryption@qq.com，以供受害者与其取得联系。

最后需要指出的是，这个勒索软件会在你登录到Windows时自行启动。这意味着，任何在上一次关机之前创建的新文件都会在下一次开机时被加密。

如何保护自己免受Dharma Brrr变种的侵害

为了保护自己免受Dharma Brrr或者其他任何勒索软件的侵害，建立良好的计算机使用习惯以及安装实用的安全软件非常重要。另外，你应该不定期地创建可靠且经过测试的数据备份，以便在紧急情况下（如遭遇勒索软件攻击）用于数据恢复。

由于Dharma勒索软件通常都是通过劫持远程桌面服务来安装的，因此确保正确锁定它是非常重要的。例如，确保运行远程桌面服务的计算机不是直接连接到互联网，而是将它们放在VPN后面，这可以确保只有拥有VPN帐户的人才能访问它们。

另外，由于攻击涉及到通过暴力破解密码来登录计算机，因此养成良好的密码使用习惯显然也是必要的。