Dharma勒索软件通过ESET反病毒软件卸载工具传播

2019年8月12日，以色列的网络安全公司Cymulate发布报告称，一种名为Dharma的勒索软件通过钓鱼网站或钓鱼邮件传播，并且通过社会工程学诱骗用户运行ESET反病毒软件的卸载程序，并且在用户卸载反病毒软件的同时，运行勒索软件加密用户数据。Dharma勒索软件进入目标系统后，一旦用户执行可执行文件，该变种将使用AES128+RSA1024算法加密所有系统的文件，文件扩展名为“.nqix”，并删除了恢复本地系统备份。然后在受害者系统屏幕上弹出消息“所有文件被RSA1024加密”并带有特定的ID。要求用户通过匿名电子邮箱地址“support@qbmail[.]biz”或“reservesupport @cock[.]li”联系攻击者支付赎金。目前发现的该勒索软件变种中没有内网横向移动功能。据Cymulate公司分析判断，Dharma自2016年开始运营，最新的变种目前无法解密。针对该恶意程序特点，建议用户采取以下措施予以防范，一是采用适合的业务备份策略，尤其是离线备份，防止Dharma勒索软件删除备份时带来的损失；二是保持安全软件开启并更新到最新版本；三是从安全的渠道下载更新软件，不轻易运行不明来历的软件。