一个新的Dharma Ransomware变种，它将.brrr扩展名附加到加密文件中

下面我将会介绍勒索病毒如何感染计算机，文件加密后会发生什么，以及如何保护自己。

通过***远程桌面服务分发

Dharma Ransomware系列（包括此Brrr变体）由***直接连接到Internet的远程桌面服务的***者手动安装。这些***者将在Internet上扫描运行RDP的计算机，通常是在TCP端口3389上，。

还有一些地下站点出售已知的凭据，用于运行远程桌面服务的可公开访问的计算机，***者可以购买。

一旦他们获得对计算机的访问权限，他们就会安装勒索软件并让它加密计算机。如果***者能够加密网络上的其他计算机，他们也会尝试这样做。

.Brrr Dharma Ransomware如何加密计算机

当Brrr勒索软件变种安装在计算机上时，它会扫描文件并加密它们。加密文件时，它会附加.id- [id].[email] .brrr格式的扩展名。例如，一个名为test.jpg放在将被加密，并且重命名为  test.jpg.id-BCBEF350.[[email protected]].brrr。

应该注意的是，这个勒索软件将加密映射的网络驱动器，共享虚拟机主机驱动器和未映射的网络共享。因此，确保您的网络共享被锁定非常重要，这样只有那些真正需要访问权限的人才有权限。

您可以在下面看到由Brrr Ransomware变体加密的文件夹示例

加密文件时，勒索软件会在受感染的计算机上创建两个不同的勒索笔记。一个是 Info.hta文件，还有一个HTML版本。另一个注释叫做FILES ENCRYPTED.txt  ，可以在桌面上找到

这两个赎金票据都包含如何联系[email protected]以获取付款指示的信息

最后，勒索软件将自行配置为在您登录Windows时自动启动。这允许它加密自上次执行以来创建的新文件。

如何保护自己免受Dharma Brrr Ransomware的伤害

为了保护自己免受佛法或任何勒索软件的侵害，使用良好的计算习惯和安全软件非常重要。首先，您应始终拥有可靠且经过测试的数据备份，以便在紧急情况下（例如勒索软件***）可以恢复。

由于Dharma Ransomware通常是通过***远程桌面服务安装的，因此确保正确锁定它是非常重要的。这包括确保没有运行远程桌面服务的计算机直接连接到Internet。而是将运行远程桌面的计算机放在×××后面，以便只有在网络上拥有×××帐户的人才能访问它们。

设置正确的帐户锁定策略也很重要，这样会使帐户难以通过远程桌面服务进行强制***

您还应该拥有安全软件，其中包含行为检测以对抗勒索软件，而不仅仅是签名检测或启发式方法。

最后，但并非最不重要的是，确保您练习以下良好的在线安全习惯，这在很多情况下是最重要的步骤：

• 备份，备份，备份！

• 如果您不知道是谁发送了附件，请不要打开附件。

• 在您确认该人实际向您发送附件之前，请勿打开附件

• 使用VirusTotal等工具扫描附件。

• 确保所有Windows更新一出现就立即安装！还要确保更新所有程序，尤其是Java，Flash和Adobe Reader。较旧的程序包含恶意软件分发者通常利用的安全漏洞。因此，更新它们非常重要。

• 确保使用安装了某种安全软件。

• 使用硬密码，不要在多个站点重复使用相同的密码。

• 如果您使用的是远程桌面服务，请不要将其直接连接到Internet。而是仅通过×××访问它。

了解如何删除.Ox4444勒索病毒 .Ox4444数据恢复，可参照链接

关注服务号，交流更多解密文件方案和恢复方案：