什么是Dharma勒索软件？

随着网络威胁日益增多，勒索软件的数量也在不断增加，其中一种就是Dharma勒索软件。在本文中，我们将进一步讨论勒索软件及其工作原理。

什么是勒索软件？

勒索软件是一种病毒，它会加密受害者的数据并将其劫持为人质。组织的重要数据被加密，使其无法访问文件、数据库或应用程序。之后，会要求支付赎金以获取访问权限。

勒索软件通常被设计为在网络上传播并以数据库和文件服务器为目标，从而瘫痪整个企业。这是一个日益严重的威胁，它为黑客带来了数十亿美元的收益，同时对企业和政府机构造成了巨大损失。
勒索软件使用非对称加密。这种类型的加密使用一对密钥来加密和解密文件。攻击者为受害者生成唯一的公钥-私钥对，私钥用于解密存储在攻击者服务器上的文件。攻击者通常只在支付赎金后才向受害者提供私钥；但正如最近的勒索软件操作所表明的那样，情况并非总是如此。如果没有访问私钥，几乎不可能解码被勒索的文件。

勒索软件有很多类型，Dharma勒索软件就是其中之一。

Dharma勒索软件会加密用户数据，并要求支付赎金以获取解密密钥。恶意软件是由攻击者手动传播的，他们使用远程桌面协议 (RDP) 通过 TCP 端口 3389 获取计算机并暴力破解密码。

在Dharma勒索软件攻击中，未受保护的映射网络设备共享的虚拟机主机驱动器和未映射的网络共享上的文件使用 AES 进行加密。一条赎金消息附加到加密的文本文件中，例如 FILES ENCRYPTED.txt 或 Info.hta，并提供一个联系电子邮件地址来传递付款说明。
Dharma勒索软件（也称为CrySiS）是一种勒索软件，由黑客使用远程桌面协议 (RDP) 连接手动交付，通常是利用被盗或弱凭据。
一旦启动，病毒就会使用 RC4 加密技术解密包含导入函数名称的字符串。RC4 密钥长度为 128 字节。在运行时链接期间，解密后的字符串用于检索导入函数的地址。代码执行所需的字符串使用相同的加密算法 (RC4) 进行解密。

Dharma勒索软件的赎金支付低于行业平均水平。这是由于攻击的个性化特征以及大多数Dharma黑客使用的赎金支付收集的手动联合。

Dharma以大规模攻击小型企业而闻名。根据统计，平均赎金价格约为 6500 美元。

大多数Dharma勒索软件感染的攻击媒介是远程桌面协议 (RDP) 访问。这是由于不安全的 RDP 端口被广泛使用，以及勒索软件分发者可以轻松地暴力破解凭据或在暗网上购买凭据。

对于允许员工或承包商在未采取必要预防措施的情况下通过远程访问访问其网络的公司来说，Dharma勒索软件是一个严重威胁。
不幸的是，使用的加密策略（同时使用对称 (AES-256-CBC) 和非对称 (RSA-1024) 加密）不允许受害者在不支付赎金的情况下解锁数据。
Dharma勒索软件会将自身复制到启动目录，向自动运行密钥添加引用，并终止数据库进程和服务以打开数据库文件。这些方法使攻击者能够对受影响的计算机造成更严重的损害。

Pranav Bhardwaj

更新时间： 2022年2月16日

258 次查看

通过完成课程获得认证

开始