.bgtx filer Virus (Dharma Ransomware) - Fjern + Gendan data

.GTX Dharma Virus – infektion Metoder

Dharma ransomware er ikke nogen almindelig virus, dermed den bruger ingen almindelige infektion metoder. Den vigtigste indikator for kompromis, der er opdaget at droppe ondsindede filer af Dharma er rapporteret på VirusTotal at have følgende specifikationer til det:

SHA-256:7e623dca8a26a45440c331e383ac6ce3783d5c1bd60b91ee91ce0cc5841633e2
Filstørrelse:219.5 KB

Filen kan spredes via forskellige metoder, men den hovedmistænkte er at blive gentaget via e-mail. Det sker, når skurke omhyggeligt skjule en e-mail til at indeholde en ondsindet vedhæftet fil. Normalt de fleste vedhæftede filer foregive at være .PDF eller .docx filer, og de udgør som legitime filer af stor betydning, for eksempel:

• Bestil afvisning detaljer.
• Faktura for et køb
• Kvittering for noget, du kan have købt.
• Vigtig sikkerhedsdokument fra din bank.
• Dokument fra din chef eller en kollega.

Disse e-mails er omhyggeligt lavet, så de ser ud til at komme fra store virksomheder, ligesom FedEx, PayPal, LinkedIn eller andre store selskaber. Nogle af de e-mails foregiver som hvis de kommer fra en velrenommeret person eller en person på din e-mail-liste over kontaktpersoner. Beskederne altid trang til at åbne den vedhæftede fil, som det er ”meget vigtigt”:

Endvidere, .GTX Dharma-virus detekteres også at bruge en meget kompliceret infektion metode, fastgørelse russisk-talende tarets og forklæde beskeder som en form for regnskabsoplysninger. Indholdet af de e-mails ud, som om afsendere sende nogle type regneark eller data information, der er vigtig. Filerne er altid knyttet til meddelelsen, og hvis ikke, de er knyttet til en ekstern Dropbox eller en anden fil-deling konto.

De skurke er også i stand til at levere arkiverede filer, der indeholder filer, der foregiver at være dokumenter. Når åbnet, de kan automatisk påbegynde forbindelse med nyttelasten downloade server eller udtrække nyttelast på Dharma direkte på offerets pc.

Ud over dette, den .bgtx variant af Dharma ransomware kan også spredes via forskellige programmer, der er uploadet på lav-omdømme sites, såsom software revner, patches, aktivatorer licens, læssemaskiner, bærbare versioner af freeware apps og mange andre exe-filer, så vær forsigtig og altid tjekke filer før du downloader dem.

Dharma .bgtx Ransomware- ondsindet aktivitet

Dharma ransomware virus har været aktive i en betydelig mængde tid og de har fået helt navn for sig selv som værende en af ​​de mest udbredte dem. De stammer fra Crysis ransomware familie med den første Dharma varianten, naturligt bærer .dharma filsuffiks det plejede at tilføje til filerne og varianten selv var decryptable. Men Dharma beslutningstagere ikke stoppe der og har nu frigivet en masse andre varianter af malware, hvoraf de fleste er ikke dekrypteres. Nogle af disse varianter kan ses nedenfor:

• Dharma .wallet variant.
• Dharma .arena variant.
• Dharma .cezar variant(bruges til at lave denne version).
• Dharma .arrow variant.
• Dharma .onion udgave.
• Dharma .java virus.
• Dharma .block variant.
• Dharma .cobra variant.
• Dharma .bip variant (senest inden .combo)
• Dharma v2 variant (en underlig én).

Og nu kommer vi til dette punkt, hvor den nuværende Dharma variant anvender .bgtx filtypenavn som it annoncer til de krypterede filer ved siden af ​​en ny e-mail-adresse.

Efter en infektion med .bgtx forekommer Dharma variant, ikke meget er ændret i de ondsindede handlinger virussen udfører på din computer:

• Oprettelse af flere mutexes.
• Oprettelse værdistrenge med brugerdefinerede data i Windows Registry Editor.
• Sletning bakckups og skygge kopi filer.
• Planlægning af opgaver til at køre ondsind filer eller det er løsesum notat ved opstart.
• Deaktivering gendannelsespunkter og systemgendannelse.
• Ændring af baggrunden.
• Ændring sysem filer (rørende).

Dharma .bgtx ransomware kan også falde, det er ondsindede filer under forskellige, ofte tilfældige navne i de almindeligt målrettede Windows mapper:

Når Dharma ransomware er faldet det er filer, malware forstyrrer også med Windows Registreringseditor ved at skabe registreringsdatabasen værdi oplysningerne i Run og RunOnce sub-nøgler Windows Registry Editor. De har følgende placering:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

Hvornår Dharma .bgtx variant skaber værdi strenge i disse sub-nøgler, virussen tilføjer placeringen af ​​kryptering fil, så at finde dem er et afgørende skridt i retning af at finde, hvor skadelig fil af malware er placeret.

Dharma .bgtx ransomware kan også udføre et script som administrator i Windows Kommandoprompt. Scriptet har til formål at slette skyggen volumen eksemplarer i Windows og deaktivere alle sikkerhedskopier. Det kan bestå af følgende kommandoer:

→ sc stop VVS
sc-stop wscsvc
sc-stop WinDefend
sc-stop wuauserv
sc stoppe BITS
sc stoppe ERSvc
sc stoppe WerSvc
cmd.exe / C bcdedit / sæt {misligholdelse} recoveryenabled Nej
cmd.exe / C bcdedit / sæt {misligholdelse} bootstatuspolicy ignoreallfailures
C:\Windows System32 cmd.exe "/ C vssadmin.exe Slet Shadows / Alle / Stille

Dharma .bgtx Ransomware virus – Kryptering

Da Dharma ransomware krypterer filer, virus kan anvende Advanced Encryption Standard, også kendt som AES. Den cipher bruger en asymmetrisk nøgle generation, der producerer en nøgle, der derefter maskeret og kan ikke læses af offeret. Algoritmen er en meget hård én at dekryptere som det er klassificeret som en Suite.B type cipher, bruges af offentlige myndigheder til at kryptere filer, der er følsomme. Den cipher kunne dog dekrypteres, hvis der er en fejl i koden for Dharma .bgtx der gør det muligt at gøre skal gøres.

Krypteringen processen med Dharma .bgtx ransomware begynder med scanning for de specifikke filtyper virussen vil kryptere. Disse filtyper omfatter ofte brugte filer, såsom filer med følgende udvidelser:

"PNG PSD .PSPIMAGE .TGA .THM .TIF TIFF .YUV .ai .EPS .PS .svg .indd .PCT .PDF .XLR .XLS .XLSX Accdb db .dbf .MDB .pdb sql .apk .APP .BAT .cgi .COM .EXE .GADGET .JAR- .pif .WSF .dem .GAM .NES .ROM SAV CAD data .DWG .DXF GIS filer .GPX .kml .KMZ .ASP .aspx .CER .cfm .CSR .css .HTM .HTML Js .jsp .php .RSS .xhtml. DOC .DOCX .LOG MSG .odt .side .RTF .tex .TXT .WPD .WPS CSV .DAT .ged .key .KEYCHAIN ​​.pps PPT .PPTX ..INI .PRFEncodedFiles .hqx .MIM .UUE .7z .CBR .deb .GZ .pkg RAR .rpm .SITX TAR.GZ .ZIP .ZIPX BIN .cue DMG .ISO .mdf .TOAST .VCD SDF .tar .TAX2014 .TAX2015 .VCF .XML lydfiler. AIF .IFF .M3U .M4A .MID .MP3 MPA WAV WMA videofiler .3g2 .3 gp ASF AVI FLV .m4v MOV .MP4 .MPG .RM .SRT SWF VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .plugin .FNT .FON .OTF .ttf .CAB .CPL .CUR .DESKTHEMEPACK DLL .DMP .drv .ICNS .ico .lnk .SYS. CFG”

Dharma ransomware kan springe kryptere filer i de mapper, vi nævnt nedenfor, som de er systemmapperne i Windows og offeret stadig brug for hans eller hendes computer til at betale løsesummen:

• %Lokal%
• %Temp%
• %Windows%
• %System%
• %Programfiler%
• %System32%

Krypteringsprocessen selv består af flere kæde af handlinger, der finder sted. For at opsummere dem op, Dharma skaber blot en kopi af din oprindelige fil, som det krypterer og tilføjer .bgtx filtypen plus et unikt id og e-mail af skurke(decrypt@fros.cc). Dharma ransomware derefter sletter den oprindelige fil, så kun den krypterede fil, ligne billedet nedenfor viser: