پوست اندازی باج افزار Dharma
متخصصان امنیت فضای تولید و تبادل اطلاعات ویرایش جدیدی از باج افزار Dharma را کشف کردند که در راه اندازی مجدد ویندوز نیز بصورت خودکار شروع به فعالیت می کند.
به گزارش بازتاب به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، باج افزار Dharma پس از رمزگذاری فایل ها، به آنها پسوند .brrr را اضافه می کند و بصورت دستی و از طریق سرویس راه دور دسکتاپ روی سیستم قربانی نصب می شود.
مهاجمین، برای یافتن رایانه های اجرا کننده سرویس RDP ، اینترنت را، اسکن می کنند و سپس با روش های جستجوی فراگیر (brute-force) گذرواژه رایانه را بدست می آورند.
پس از نصب شدن باج افزار Brrr، فایل های رایانه اسکن و سپس رمزگذاری می شود. پس از رمزگذاری،
پسوند .id-[id].[email].brrr به فایل هدف اضافه می شود.
باج افزار دو فایل Info.hta و FILES ENCRYPTED.txt را در رایانه قربانی قرار می دهد که حاوی توضیحاتی مبنی بر نحوه پرداخت باج هستند.
باج افزار Dharma خود را به گونه ای پیکربندی می کند که در راه اندازی مجدد ویندوز نیز بصورت خودکار شروع به فعالیت کند. این عمل باعث می شود تا فایل های جدید نیز رمز شوند.
کارشناسان افتا میگویند در حال حاضر روشی برای بازیابی فایل های رمزشده این باج افزار وجود ندارد و توصیه می شود با بکارگیری رویکردهای امنیتی از آلودگی رایانه جلوگیری شود.
