病毒预报  第七百五十二期

国家计算机病毒应急处理中心通过对互联网的监测发现，近日出现勒索软件Dharma的新变种。

该勒索软件会将.cmb的扩展名附加到加密的文件中。攻击者首先使用TCP端口3389，通过远程桌面协议服务（RDP）入侵计算机，其后尝试暴力破解计算机的密码，一旦获得计算机权限，攻击者就会安装勒索软件以加密计算机，并尝试加密网络上的其他计算机。Dharma新变种是在原有基础上，在对文件进行加密时，会附加 .id-id.email.cmb格式的扩展名。其在加密文件时，此勒索软件会在受感染的计算机上创建两个不同的勒索赎金说明，一个为当用户登录到计算机时自动运行启动的Info.hta文件，另一个是安装在桌面上的FILES ENCRYPTED.txt文件，赎金说明中都包含获取付款指示的说明。此勒索软件还将对映射的网络驱动器、共享虚拟机主机驱动器和未映射的网络共享进行加密，以剥夺访问权限。同时，其还在用户登陆Windows时设置自动启动，这允许攻击者对用户创建的新文件进行加密。目前，仍没有有效的对此进行解密的方法。

针对该勒索软件Dharma的新变种所产生的危害，建议用户安装安全防护软件，并及时更新病毒库样本。同时，对计算机内重要的资料进行备份，不打开来历不明的电子邮件中的附件，以避免遭受该勒索软件的感染，造成严重的损失。

联系方式：
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心