Nueva Dharma ransomware - Eliminar y restaurar los archivos .wallet - Cómo, Foro de Tecnología y Seguridad PC | SensorsTechForum.com

Nueva Dharma ransomware - Eliminar y restaurar los archivos .wallet

dharma-ransomware-main-dharma-parodia-sensorstechforum-divertido Si usted ha sido infectado por el virus de Dharma, este artículo tiene como objetivo ayudar a eliminar y tratar de restaurar los archivos .wallet gratis.

ransomware Dharma que fue establecido este último a ser una variante de la familia ransomware Crysis ha llegado con otra extensión de archivo .wallet. El virus Dharma cifra los archivos en el ordenador que infecta por el probable uso de la AES (Algoritmo de cifrado avanzado) después de lo cual se almacenan todos los rehenes cifrada. También deja tras de sí una nota de rescate en una .txt y .jpg archivos que las demandas de la víctima a pagar una considerable "cuota" para obtener los archivos de nuevo. En caso de que haya convertido en víctima de la Dvirus de ransomware Harma, le sugerimos que lea este artículo para aprender cómo eliminar Dharma y tratar de restaurar los archivos.

ACTUALIZACIÓN DE MAYO 2017! ransomware Dharma utilizando la extensión de archivo .wallet es ahora afortunadamente descodificarse. Puede descargar el descifrador y siga las instrucciones que aparecen en el artículo relacionado a continuación:

Relacionado: Desencriptar .wallet archivos cifrados de forma gratuita (dharma actualización 2017)

Resumen de amenazas

Nombre

Dharma

EscribeEl ransomware
Descripción breveDharma encripta los archivos de usuario y las hojas como direcciones de correo electrónico de contacto para ponerse en contacto con los criminales detrás de él y pagar la cuota de rescate.
Los síntomasCambios en los archivos de extensión de los archivos cifrados a .wallet. Fondo de pantalla cambiará a uno con las instrucciones de rescate que tienen el respaldo de rescate e-mail – [email protected]
Método de distribuciónA través de un paquete de exploits, ataque al archivo DLL, JavaScript malicioso o una descarga dirigida del propio programa malicioso de manera ofuscado.
Herramienta de detección Ver si su sistema ha sido afectado por el Dharma

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioÚnete a nuestro foro para discutir Dharma.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

actualización de mayo 2017 - Método de recuperación de datos nuevo

actualización de mayo 2017. Nuestra investigación indica que este virus de archivo .wallet sigue afectando a los usuarios de de mayo de 2017. Adicionalmente, hay una nueva infección ransomware, cual usos la extensión de archivo .wallet. Esta nueva infección .Wallet cifra los archivos usando el algoritmo de cifrado AES y RSA. La nota de rescate se nombra #_Restoring_files _ #. Txt.

Se ha traído a nuestra atención que las víctimas de las últimas variantes de infección Dharma .wallet ransomware han logrado restablecer un porcentaje muy alto (por encima 90%) de sus archivos utilizando un método muy singular - la conversión de archivos en unidades virtuales y luego utilizando la opción de recuperación de la partición de los programas de recuperación de datos. Este método se aprovecha de los que convierten los archivos en un tipo de archivo .VHD que es una unidad virtual. Dado que no existen nuevos programas de recuperación de datos diseñados específicamente para recuperar particiones, un enfoque consiste en restaurar archivos encyrpted por Dharma ransomware es convertir los archivos encriptados en archivos .VHD y luego tratar de recuperarlos utilizando software de recuperación de partición. Dado que el algoritmo que cifra los archivos de hecho puede alterar sólo una pequeña parte del archivo, usted tiene una probabilidad mucho mayor de recuperar los archivos si los cambia en tipo .VHD.

Los métodos han sido reportados a no puede ser una garantía total para recuperar todos los archivos, pero si no se ha vuelto a instalar el sistema operativo todavía, le recomendamos que sigas. Pero primero, asegúrese de eliminar los archivos maliciosos de Dharma de las instrucciones al final de estos artículos. Aquí están las instrucciones:

.Instrucciones de recuperación de cartera 2017

¿Qué técnicas de Dharma virus utiliza para propagarse e infectar

Con el fin de causar una infección exitosa, .wallet variante del Dharma puede utilizar una mezcla de herramientas para ocultar el malware, tal como:

  • Programa ofuscadores.
  • Exploit kit.
  • Carpinteros de archivos.
  • URL de infección.
  • JavaScript maliciosos.
  • Una base de datos de sitios de distribución.
  • servicios de spam o los robots de spam.

La combinación de estas herramientas se puede propagar Dharma ransomware en diferentes lugares a través de Internet, tal como:

  • sitios web de medios sociales.
  • Los mensajes de spam en mensajes de correo electrónico.
  • Los mensajes en los servicios de mensajería y programas de comunicación(Skype, por ejemplo).
  • archivos falsos subidas en los sitios web de torrent como generadores o grietas clave falsa de juego y correcciones de patch.

La activación de una URL o un archivo malicioso conduce a la infección devastadora con el Dharma ransomware, lo que hace que el virus realice inyección de scripts maliciosos en los procesos o servicios de Windows legítimos, tales como sysdm.cpl o svchost.exe.

Dharma ransomware - ¿Qué ocurre después de la infección

Después de ser infectado por Dharma ransomware, el virus comienza a realizar varias tareas diferentes. Para empezar, puede crear inicialmente varios objetos en el editor del registro de Windows. Esos objetos pueden hacer funcionar el virus de ransomware automáticamente al iniciar Windows y además es ejecutar archivos que ha creado cada vez que Windows se inicia. Entre las entradas del registro de Windows afectados pueden ser las claves del registro Run y ​​RunOnce.

Y cuando se trata de los archivos que crea, Dharma ransomware puede crear varios archivos de la %Temp% y% AppData% carpetas. Pero también puede caer sus archivos de nota de rescate, que los investigadores afirman ser identificado como el siguiente:

  • readme.txt
  • Readme.jpg

Además, Dharma ransomware puede modificar la clave de registro para el escritorio de la computadora para cambiar el fondo de pantalla de la máquina afectada para nota de rescate del Dharma.

Aunque no está confirmado, la nota de rescate del virus puede ser similar a la otra versión de Dharma:

"Hola //, nuestro querido amigo!
//Parece que tiene con su seguridad sin dificultades.
//todos los archivos se cifran.
//utilizando el software de recuperación de terceros corromperá sus datos.
//sólo tiene una manera de recuperarlos de manera segura - utilizando nuestra herramienta de descifrado.
//para obtener la herramienta de descifrado originales en contacto con nosotros con el correo electrónico. En tema como escribir su ID, donde puede encontrar en nombre de cada archivo encriptado, También adjuntar al correo electrónico 3 archivos encriptados.
[email protected]
//que es en su interés de responder lo más pronto pissible para garantizar el restablecimiento de sus archivos, porque no vamos a mantener sus claves de descifrado en nuestros servidores más de 72 horas en el interés de nuestra seguridad.
//PD. sólo en caso de que usted no recibe una respuesta de la primera dirección de correo electrónico dentro de 24 horas, por favor utilice esta dirección de correo electrónico alternativa.
[email protected] "

Además de esto, esta variante del Dharma también tiene un enfoque similar al Crysis XTBL cuando se trata de la estructura de los archivos después del cifrado. Volvieron a contener la dirección de correo electrónico para el contacto deseado, pero también tienen la única para Dharma .billetera extensión. Los archivos cifrados por Dharma pueden parecerse a la siguiente:

amangusindia-com-cifrado-archivos-dharma-ransowmare-sensorstechforum

Después de Dharma ya ha cifrado los archivos, ya no pueden ser abiertos. Su código es alterado utilizando un algoritmo de cifrado única.

Dharma ransomware - Conclusión, Remoción y restauración de archivos

Ransomware como Dharma, una vez se ha demostrado que puede ser fija y parcheado a ser más difícil de descifrar y para que esto suceda los delincuentes cibernéticos más probable es que han invertido mucho. Se cree que las mismas personas que están detrás de la notoria ransomware Shade .XTBL han logrado obtener un beneficio simplemente soltando demasiadas variantes para investigadores de malware para realizar un seguimiento. Esto dio lugar a una gran cantidad de personas que pagar el rescate en lugar de descifrar sus archivos de forma gratuita. Una teoría es que se utilizaron estos fondos para crear la versión modificada de sombra - Dharma, el cual se encuentra actualmente no descodificarse.

A pesar de todo, es muy aconsejable que evite pagar el rescate a toda costa. investigadores de malware están constantemente monitoreando Dharma y actualizaremos este artículo con instrucciones de descifrado gratuitas, tal como lo hicimos con su versión previa. Mientras tanto le recomendamos para realizar lo siguiente si están infectados por el Dharma:

1. Copia de seguridad de los archivos cifrados y crear varias copias de los mismos.
2. Retire Dharma, preferentemente siguiendo las instrucciones a continuación.
3. Se centran en tratar de restaurar los archivos a través de métodos alternativos, como los que hemos sugerido a continuación en el paso "2. Restaurar archivos cifrados por Dharma ".

eliminar manualmente Dharma desde el ordenador

Nota! Sustancial notificación acerca de la Dharma amenaza: La extracción manual de Dharma requiere la interferencia con los archivos del sistema y los registros. Por lo tanto, que puede causar daño a su PC. Incluso si sus conocimientos de informática no son a nivel profesional, no te preocupes. Usted puede hacer la eliminación ti mismo en 5 acta, usando un herramienta de eliminación de software malicioso.

1. Arrancar el PC en modo seguro para aislar y eliminar archivos y objetos de Dharma
2.Encontrar archivos maliciosos creados por Dharma en su PC

eliminar automáticamente Dharma mediante la descarga de un programa anti-malware avanzado

1. Retire Dharma con la herramienta de SpyHunter Anti-Malware y realizar copias de seguridad de los datos
2. Restaurar archivos cifrados por Dharma
Opcional: Uso de las herramientas Alternativa Anti-Malware

Vencislav Krústev

Un administrador de red e investigador de malware de SensorsTechForum con pasión por el descubrimiento de nuevos cambios e innovaciones en seguridad cibernética. firme creyente en la educación básica de todos los usuarios respecto a la seguridad en línea.

Más Mensajes - Sitio web

9 Comentarios

  1. KTSA12

    Tenemos un cliente que fue recientemente golpeado por la cepa DHARMA. (cuentas de servidor) El problema que tenemos es cómo se consiguió a través de una plataforma de seguridad muy apretado.

    Nos cerrada Cuentas y expulsado privilegios de administrador. Además, el “Anfitrión” que estaba infectado no tiene una cuenta de correo. También tenemos una plataforma de seguridad de varias vectorizada que está vinculado a la nube (17 lo mejor del mercado AV de que el correo de exploración / web y la protección de punto final). Que afortunadamente se detuvo a mitad de camino a través de la encriptación. (Sin embargo, se sigue siendo 300Gb que necesitaba ser restaurado)

    Recientemente hemos abierto RDP para un proveedor de 3 ª parte para ejecutar las actualizaciones en su plataforma. A continuación, fue golpeado…
    (actualizaciones de la tercera parte de la compañía de ejecución para 100s clientes corporativos – y son firmes en que no es de su lado como otros sitios serían afectados).

    Mi consulta es – ¿cómo esta infección a continuación, ponerse en? El servidor (2012 R2) Recientemente se ha formateado y recargado – todos los parches hasta la fecha, está detrás de un cortafuegos, No es Internet o correo revestimiento y tenemos una sólida plataforma de seguridad probada)

    RDP? Ataque de fuerza bruta… algún tipo de BOT?

    Ninguna otra unidad tiene la carga útil de la red.

    Es muy extraño… Cualquier contribucion sera apreciada… Gracias

    1. Vencislav Krústev

      Se podría utilizar teóricamente un rastreador de red para interceptar cualquier comunicación relacionada con la POST Dharma, pero para ello hay que saber que el servidor remoto, se conecta y para ello se tiene que tener la carga maliciosa del virus que debe contener la dirección IP o host del servidor C2 en ella. Entonces puede agregarlo como fiter en Wireshark y volver a infectar un PC de prueba o si tiene un equipo infectado, Wireshark hacer ejecutar en el arranque e interceptar todos los paquetes de tráfico o de comunicación. A continuación tenemos un tutorial teórico sobre cómo ejecutar Wireshark en el arranque y la forma de tratar de detectar la información en paquetes, así que no dude ayudarse a sí mismo. Tenga en cuenta que usted tiene que estar infectado con el que hay que probar esto y es sólo teórica, lo que significa que puede o no puede trabajar, porque el virus puede enviar la información a través de paquetes encriptados o encriptar la clave de descifrado en su ordenador y enviarlo posteriormente.

      https://ask.wireshark.org/questions/26932/capture-packets-on-startup-automatically – Wireshark ejecutar automáticamente al inicio

      http://sensorstechforum.com/use-wireshark-decrypt-ransomware-files/ – Uso de Wireshark

    2. tony Dod

      Acabo de ver un sitio donde me he identificado RDP como el medio de entrada para los dos ataques separados. En ambos casos, las cuentas de prueba genérica con una contraseña fácil de adivinar (insinuación, las cuentas de usuario son cuentas de prueba en una escuela). Me gustaría comprobar, y vuelve a comprobar que el acceso del RDP sólo se permite a los usuarios reales específicos, y no a nivel general a cualquier administradores de dominio y cuentas de prueba, Asegúrese de que estas cuentas tienen buenas contraseñas. Más, idealmente, no publique RDP sobre el mismo de puerto predeterminado 3389. Al menos cambiar a un puerto diferente, o mejor aún, poner en una puerta de enlace web para acceder a ella.

      Echar un vistazo a una página como https://security.berkeley.edu/resources/best-practices-how-articles/securing-remote-desktop-rdp-system-administrators para obtener más información sobre la seguridad de RDP.

      Mi siguiente paso va a ser la instalación de App Locker en las cajas de RDP para garantizar que no se puede ejecutar el malware.

      NB. Si nos fijamos en el propietario de los archivos que puede averiguar qué cuenta se infectó y causó el cifrado de archivos.

  2. pierpaolo0204

    Hace unos días que estaba infectada por el virus del rescate “dharma ramsonware” con la cartera de extensión en el extremo, y dell'haker correo electrónico al principio.

    [email protected]

    este ramsonware cifrar todo mi archivo de PC.

    Él salió de la herramienta para descifrar los archivos?

    He formateado el PC y restaurados con copias, pero algunos archivos importantes no han tenido éxito porque cifrada.

    alguien me puede ayudar. Muchas gracias. buen día

    1. Berta

      Todavía no hay una herramienta de descifrado disponibles y descifrado puede no ser posible.

      1. pierpaolo0204

        Berta Ok, gracias por su respuesta

  3. Pablo Lopez

    ninguna de descifrado ?

    1. Abdelraheem Aldaby

      dharma ramsonware

  4. Abdelraheem Aldaby

    Hola
    Tengo archivos PDF cifrados y la extensión fo los archivos se convirtió en 46FAC392.[[email protected]].billetera cómo puedo solucionar este problema
    Gracias

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...
Por favor espera...

Suscríbete a nuestro boletín

¿Quieres recibir un aviso cuando se publique nuestro artículo? Introduzca su dirección de correo electrónico y nombre para ser el primero en saber.