.bgtx Dateien Virus (Dharma Ransom) - entfernen + Daten wiederherstellen

.GTX Dharma Virus – Infektionsmethoden

Dharma Ransomware ist kein gewöhnliches Virus, daher verwendet es keine gewöhnlichen Infektionsmethoden. Der wichtigste Indikator des Kompromisses, dass die bösartigen Dateien von Dharma erkannt wurde, werden fallen berichtet an Virustotal die folgenden Spezifikationen, um es zu haben:

SHA-256:7e623dca8a26a45440c331e383ac6ce3783d5c1bd60b91ee91ce0cc5841633e2
Dateigröße:219.5 KB

Die Datei kann über verschiedene Methoden verteilt werden, aber der Hauptverdächtige ist per E-Mail repliziert werden. Dies geschieht, wenn die Gauner sorgfältig eine E-Mail zu verschleiern einen bösartigen Anhang enthalten. In der Regel die meisten Anhänge vorgeben .PDF oder .docx-Dateien und stellen sie als legitime Dateien von großer Bedeutung zu sein,, beispielsweise:

• Bestellen Ablehnung Details.
• Rechnung für einen Kauf
• Quittung für etwas, das Sie gekauft haben.
• Wichtiges Sicherheitsdokument von Ihrer Bank.
• Dokument von Ihrem Chef oder einem Kollegen.

Diese E-Mails werden sorgfältig gemacht, so dass sie von großen Unternehmen zu kommen scheinen, wie FedEx, PayPal, LinkedIn oder andere große Unternehmen. Einige der E-Mails so tun, als ob sie von einer seriösen Person kommen oder jemand auf Ihrer E-Mail-Kontaktliste. Die Nachrichten immer drängen die Anlage zu öffnen, wie es „sehr wichtig“ ist:

Weiter, .GTX Dharma-Virus ist auch eine sehr komplizierte Infektion Methode zu verwenden, erkannt, Anbringen russischsprachigen tarets und Verschleierung Nachrichten als irgendeine Form von Abrechnungsinformationen. Der Inhalt der E-Mails erscheinen, als ob Absender irgendeine Art von Tabellenkalkulations- oder Dateninformationen senden, die wichtig ist,. Die Dateien werden immer an die Nachricht angehängt, und wenn nicht, sie sind mit einer externen Dropbox oder anderen File-Sharing-Konto verknüpft.

Die Betrüger sind auch in der Lage archivierten Dateien zu liefern, welche Dateien enthalten, die Dokumente zu sein vorgeben. wenn sie geöffnet, sie können automatisch Verbindung mit dem Server Nutzlast Download initiieren oder die Nutzlast von Dharma direkt auf das Opfer PC extrahieren.

Außerdem, die .bgtx Variante der Dharma Ransomware kann auch über verschiedene Programme verteilt werden, die auf Low-Ruf-Site hochgeladen werden, wie Software Risse, Patches, Lizenz-Aktivator, Lader, portable Versionen von Freeware-Anwendungen und vielen anderen EXE-Dateien, so vorsichtig sein und immer überprüfen, Dateien vor dem Download.

Dharma .bgtx Ransomware- Malicious Activity

Dharma Ransomware Viren haben erhebliche Zeit aktiv gewesen, und sie haben sich ganz den Namen gewonnen als eine der am weitesten verbreiteten diejenigen sein. Sie stammen aus der crysis Ransomware-Familie mit der ersten Variante Dharma, natürlich tragen die .dharma Dateisuffix es verwendet, um die Dateien anzuhängen und die Variante selbst war entschlüsselbar. Aber die Dharma-Hersteller noch nicht beendet und haben jetzt eine Menge von anderen Varianten der Malware veröffentlicht, von denen die meisten nicht entschlüsselbar. Einige dieser Varianten können unter gesehen werden:

• Dharma .wallet Variante.
• Dharma .arena Variante.
• Dharma .cezar Variante(verwendet diese Version machen).
• Dharma .arrow Variante.
• Dharma .onion Version.
• Dharma .java- Virus.
• Dharma .block Variante.
• Dharma .cobra Variante.
• Dharma .bip Variante (spätestens vor .combo)
• Dharma v2 Variante (ein seltsamer).

Und nun kommen wir zu diesem Punkt, wo die aktuelle Dharma Variante verwendet die .bgtx Dateierweiterung , die es Anzeigen auf die verschlüsselten Dateien neben einer neuen E-Mail-Adresse.

Nach einer Infektion mit dem .bgtx Dharma Variante auftritt, nicht viel in den böswilligen Aktionen das Virus auf Ihrem Computer geändert führt:

• Anlegen mehrerer mutexes.
• Werte schaffen Strings mit benutzerdefinierten Daten in Windows-Registrierungs-Editor.
• Löschen bakckups und Schattenkopien von Dateien.
• Planen von Aufgaben auszuführen maliciou Dateien oder es ist Erpresserbrief beim Start.
• Wiederherstellung deaktivieren Punkte und Systemwiederherstellung.
• Ändern Sie Ihre Tapete.
• Ändern sysem Dateien (rührend).

Dharma .bgtx Ransomware kann auch fällt es schädliche Dateien unter verschiedenen, oft zufällige Namen in den häufig gezielt Windows-Verzeichnissen:

Wenn Dharma Ransomware abgesunken ist es Dateien, die Malware stört auch mit dem Windows-Registrierungs-Editor von Registrierungswert Einträge in den Run und RunOnce Unterschlüssel von Windows Registry Editor Erstellen. Sie haben die folgende Lage:

→ HKEY_CURRENT_USER Software Microsoft Windows Currentversion
HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion

Wenn Dharma .bgtx Variante schafft Wert Strings in diesem Unterschlüssel, das Virus fügt die Position der Verschlüsselungsdatei, so sie zu finden ist ein entscheidender Schritt auf dem Weg zu finden, wo die schädliche Datei des Malware befindet.

Dharma .bgtx Ransomware kann auch ein Skript als Administrator in Windows-Eingabeaufforderung ausführen. Das Skript soll die Schattenvolumen Kopien in Windows und deaktivieren Sie alle Backups löschen. Es kann aus den folgenden Befehlen bestehen:

→ sc stop Sanitär
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc Stopbits
sc stop ERSvc
sc stop WerSvc
cmd.exe / C bcdedit / set {Standard} recoveryenabled Nein
cmd.exe / C bcdedit / set {Standard} bootstatuspolicy ignoreallfailures
C:\Windows System32 cmd.exe "/ C Vssadmin.exe löschen Schatten / Alle / Quiet

Dharma .bgtx Ransomware Virus – Verschlüsselung

Wenn Dharma Ransomware verschlüsselt Dateien, das Virus kann den Advanced Encryption Standard verwenden, auch als AES bekannt. Die Chiffre nutzt ein asymmetrisches Schlüsselerzeugung, die einen Schlüssel erzeugt, der dann maskiert wird und nicht durch das Opfer gelesen werden. Der Algorithmus ist eine sehr schwierige Frage zu entschlüsseln, da es als Suite.B Art von Chiffre klassifiziert ist, von Regierungsbehörden verwendet, um Dateien zu verschlüsseln, die empfindlich sind. Die Chiffre könnte jedoch entschlüsselt werden, wenn es einen Fehler im Code ist Dharma .bgtx das erlaubt es getan werden tun.

Der Verschlüsselungsprozess von Dharma .bgtx Ransomware beginnt mit dem Scannen für die bestimmte Dateitypen wird das Virus verschlüsseln. Diese Dateitypen umfassen häufig verwendete Dateien, wie Dateien mit den folgenden Erweiterungen:

"PNG .PSD .pspimage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG INDD .PCT .PDF .xlr .xls .XLSX .accdb .DB DBF .MDB PDB .SQL .APK .APP .BAT .cgi .COM .EXE .gadget .JAR PIF .wsf .DEM .gam NES .ROM .SAV CAD-Dateien .DWG .DXF GIS Dateien .GPX .KML .KMZ .ASP .ASPX .CER CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSs .xhtml. DOC DOCX .LOG .MSG ODT .Seiten .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN ​​.PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .mim .UUE .7z .cbr .DEB .GZ .PKG .RAR .RPM .sitx .TAR.GZ .ZIP .zipx .BIN .CUE .DMG .ISO .MDF .Toast .vcd SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audiodateien. AIF .iff .M3U .M4A .MID .MP3 .mpa .wav .WMA Video-Dateien .3g2 .3GP .ASF .AVI .FLV M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3dm .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF .CAB CPL .CUR .DESKTHEMEPACK .DLL- .DMP .DRV .icns ICO .LNK .SYS. CFG“

Dharma Ransomware überspringen können Dateien in den Ordner verschlüsseln wir weiter unten erwähnt, wie sie sind Systemordner von Windows und immer noch das Opfer muss seinen Computer das Lösegeld zahlen:

• %Local%
• %Temp%
• %Windows-%
• %System%
• %Programmdateien%
• %System32%

Der Verschlüsselungsprozess selbst besteht aus mehreren Kette von Aktionen, die stattfinden. Zusammengefasst diejenigen nach oben, Dharma schafft einfach eine Kopie der Originaldatei, , die es verschlüsselt und fügt die .bgtx Dateierweiterung sowie eine eindeutige ID und die E-Mail des Gauners(decrypt@fros.cc). Dharma Ransomware löscht dann die ursprüngliche Datei, nur die verschlüsselte Datei zu verlassen, sieht aus wie das Bild unten zeigt: