Recentemente è stata scoperta una nuova variante della famiglia di ransomware Dharma, evolutasi a partire dal 2016.

Il ransomware Dharma colpisce computer esposti su Internet mediante la funzionalità Servizi Desktop Remoto di Microsoft. Gli attaccanti eseguono scansioni della rete alla ricerca di computer con il servizio RDS attivo, in genere sulla porta TCP 3389, tentando di ottenere l’accesso mediante attacchi a forza bruta o utilizzando credenziali compromesse.

Una infettato il PC, Brrr Dharma cifra i file dell’utente sui dischi locali, sui dischi di rete mappati, sui dischi condivisi di macchine virtuali e sulle condivisioni di rete non mappate. Ai file cifrati viene appesa un’estensione del tipo “.id-[id].[email].brrr”, dove “[id]” è un identificativo univoco e “[email]” è l’indirizzo di posta elettronica al quale la vittima dovrebbe scrivere per ottenere le istruzioni per il pagamento del riscatto.

A differenza di altre versioni note di questo ransomware, questa nuova variante appende l’estensione finale “.brrr”. Per questo motivo a questa variante viene fatto riferimento anche come Brrr Dharma, Dharma Brrr o anche solo Brrr ransomware.

Una volta cifrati i file della vittima, Brrr Dharma crea due diverse note di riscatto. La prima in formato HTML, chiamata “Info.hta”, viene lanciata automaticamente ogni qual volta l’utente effettua il login sul pc.

La seconda nota è contenuta in un file di testo memorizzato sulla scrivania, chiamato “FILES ENCRYPTED.txt”. Questo file contiene il testo seguente:

all your data has been locked us
you want to return?
write email paydecryption@qq.com

Infine, Dharma Brrr si configura per essere avviato automaticamente ad ogni login dell’utente. In questo modo il ransomware è in grado di cifrare i nuovi file creati dall’utente successivamente all’ultima scansione dei dischi.
Al momento non sono disponibili tool per decifrare gratuitamente i file presi in ostaggio da Dharma Brrr. Fortunatamente, la capacità di individuazione di questo ransomware da parte dei più diffusi antivirus risulta molto elevata