研究人员发现Dharma勒索软件新变种(2019.8.16)

Cymulate研究人员发现勒索软件Dharma新变种的攻击活动。Dharma自2016年开始运营，通常通过网络钓鱼传播，新变种通过使用真正的ESET反病毒软件移除器，提供给用户从系统卸载该软件来引诱用户安装勒索软件。一旦用户执行可执行文件，该变种将加密所有系统的文件，文件扩展名为“.nqix”，并删除了恢复本地系统备份选项。然后在受害者系统屏幕上弹出消息“所有文件被RSA1024加密”并带有特定的ID。该变种编写方式简单，没有被打包，通过存储rc4加密的dll和导入名称数组来混淆其导入 ，通过添加注册表项建立持久性。为了确保在SQL相关机器和邮箱上的加密，该变种会停止服务并终止进程，特别是Firebird Guardian、SQL和Microsoft Outlook等进程。完整报告可在blog.cymulate.com网站下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理