Varian Baru Ransomware Dharma Dirilis – Varian baru dari Dharma Ransomware dirilis minggu ini yang menambahkan ekstensi .brrr ke file terenkripsi. Varian ini pertama kali ditemukan oleh Jakub Kroustek yang men-tweet tautan ke sampel pada VirusTotal melalui akun Twitternya.
Didistribusikan melalui Layanan Remote Desktop yang diretas
Dharma Ransomware, termasuk varian Brrr ini, secara manual dipasang oleh penyerang yang meretas Layanan Desktop Jarak Jauh yang terhubung langsung ke Internet. Para penyerang ini akan memindai komputer yang menjalankan RDP, biasanya pada port TCP 3389, dan kemudian berusaha untuk memaksa kata sandi dengan brute force pada komputer target.
Ada juga situs underground yang menjual kredensial yang remote desktop yang dapat diakses publik yang dapat dibeli oleh penyerang.
Begitu mereka mendapat akses ke komputer, mereka akan menginstal ransomware dan membiarkannya mengenkripsi komputer. Jika penyerang mampu mengenkripsi komputer lain di jaringan, mereka akan berusaha melakukannya juga.
Bagaimana Brrr Dharma Ransomware mengenkripsi komputer
Ketika varian ransomware Brrr diinstal pada komputer, ia akan memindai file dan mengenkripsi mereka. Ketika mengenkripsi file, itu akan menambahkan ekstensi dalam format .id-[id].[Email].brrr. Sebagai contoh, sebuah file bernama test.jpg akan dienkripsi dan diganti namanya menjadi test.jpg.id-BCBEF350.[[email protected]].brrr .
Perlu dicatat bahwa ransomware ini akan mengenkripsi drive jaringan yang dipetakan, berbagi drive host mesin virtual, dan berbagi jaringan yang tidak dipetakan. Jadi penting untuk memastikan jaringan kalian terkunci sehingga hanya mereka yang benar-benar membutuhkan akses yang memiliki izin.
Anda dapat melihat contoh folder yang dienkripsi oleh varian Brrr Ransomware di bawah ini.
Ketika mengenkripsi file, ransomware akan membuat dua catatan tebusan berbeda pada komputer yang terinfeksi. Salah satunya adalah file Info.hta, yang diluncurkan oleh autorun ketika pengguna masuk ke komputer. Versi HTML dari catatan tebusan dapat dilihat di bawah ini.
Catatan lainnya adalah FILES ENCRYPTED.txt dan dapat ditemukan di desktop.
Kedua catatan tebusan ini berisi informasi tentang apa yang terjadi pada file korban dan cara menghubungi [email protected] untuk mendapatkan instruksi pembayaran.
Akhirnya, ransomware akan mengatur dirinya sendiri untuk memulai secara otomatis ketika Anda masuk ke Windows. Ini memungkinkan untuk mengenkripsi file baru yang dibuat sejak terakhir dieksekusi. Saat ini tidak ada cara untuk mendekripsi file yang terinfeksi dengan varian Dharma Brrr Ransomware secara gratis.
