RDAT勒索软件

勒索软件仍然是家庭用户和组织面临的最具破坏性的威胁之一。一次入侵就能在几分钟内窃取文档、照片和业务数据，然后勒索受害者获取访问权限。RDAT 勒索软件是 Dharma 勒索软件家族的一个分支，它充分说明了分层防御和严谨的恢复计划的重要性。

威胁概况：RDAT 概览

信息安全研究人员在对新兴恶意软件进行广泛审查时发现了 RDAT。它是 Dharma 的变种，专门用于数据勒索：它会加密文件，并迫使受害者付费解密。RDAT 会同时攻击本地驱动器和网络共享，刻意避开关键系统文件，以便设备保持可启动状态，受害者能够阅读勒索信息。

受害者看到了什么

一旦 RDAT 执行，它会加密各种类型的文件。文件名会被修改，包含唯一的受害者 ID、攻击者的电子邮件以及“.RDAT”扩展名，例如：
1.png 变成 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

接下来是两封勒索信：一个弹出窗口，提示文件已加密，以及一个名为“DAT_INFO.txt”的文本文件，其中包含联系说明。攻击者声称最多可以解密三个文件（受大小/格式限制）作为证据，同时警告称使用第三方工具或修改加密数据可能会导致永久性损失。这些伎俩旨在建立信誉和紧迫感，而非帮助你。

RDAT 如何存在和传播

RDAT 继承了 Dharma 的持久性和防恢复策略。该恶意软件将自身复制到 %LOCALAPPDATA% 中，通过特定的 Run 键注册自动运行条目，并在系统重启后重新启动。为了阻止快速恢复，它会删除卷影副本。在加密之前，它会终止可能保持文件打开的进程（数据库、文档阅读器等），以确保最大程度的覆盖。它还会尝试通过检查已知列表（一种不完善的安全检查）来避免对已被其他勒索软件攻击的数据进行“双重加密”。

目标选择和地理围栏

该恶意软件会收集地理位置数据，以判断受害者是否有可能支付赎金。如果该地区在经济或地缘政治方面看起来不利，它可能会完全跳过加密。这种行为纯粹是为了最大化赎金收益。

为什么支付是一场失败的赌注

勒索软件攻击后，如果没有攻击者的密钥，通常无法解密，除非病毒库存在严重缺陷。即便如此，付款也存在风险：许多受害者从未收到过可用的解密器。付款还会为更多攻击提供资金。负责任的做法是清除恶意软件，使用可靠的备份进行重建，并强化系统以防止再次发生此类事件。

确认交付渠道

Dharma 家族的入侵通常始于暴露或保护薄弱的远程桌面协议 (RDP)。攻击者依赖暴力破解和字典攻击，一旦入侵，可能会禁用主机防火墙。除了 RDP 之外，该生态系统还利用网络钓鱼和社会工程、恶意广告、不可信的软件来源、垃圾邮件附件以及加载器/后门木马。恶意负载通常以压缩文件（RAR/ZIP）、可执行文件、脚本（包括 JavaScript）和文档（PDF、Office、OneNote）的形式发送。某些家族还会通过本地网络和可移动介质进行传播。

遏制和恢复

清除勒索软件以阻止进一步加密，但要明白，删除勒索软件并不能恢复锁定的文件。恢复需要干净的、版本化的备份。最佳做法是在多个位置和多种介质上保存副本，包括恶意软件无法触及的离线存储。

勒索软件威胁的常见访问和分发媒介包括：

• 暴露/薄弱的 RDP 服务、凭证填充和暴力登录
• 网络钓鱼电子邮件、社会工程诱饵、垃圾邮件附件和链接、恶意广告、木马下载、驱动下载、盗版软件和“破解”、假更新程序以及加载器/后门感染；通过 LAN 和可移动 USB/存储设备横向传播

底线

RDAT 勒索软件是一种严谨的、以盈利为目的的 Dharma 变种：它能够在系统重启后持续存在，删除恢复点，攻击本地和共享数据，并利用施压手段勒索赎金。最可靠的防御方法是主动加固，并进行强大的离线备份和精心演练的恢复。切勿付费；根除、恢复并加强防御，以防止下一次攻击。