.combo file Virus (Dharma ransomware) – Rimuovere + Ripristino di file

.combo Dharma Virus – Come ci si Infect

Un sacco di metodi di infezione sono stati utilizzati quando si tratta di virus ransomware Dharma e l'ultimo file .combo variante non è diverso da quello. Il virus ransomware ha lo scopo di ingannare gli utenti che si tratta di un tipo di legittima programma o un documento che viene sia loro inviato via e-mail o caricato on-line. Se questa variante del Dharma ransomware viene inviato tramite dannosi di spam e-mail, i truffatori possono rendere come se le e-mail sono provenienti da grandi aziende del calibro di FedEx, DHL, PayPal e altri. Oltre a contenere i messaggi convincenti, le e-mail hanno anche l'allegato in posa come un documento apparentemente importante, come:

• file di annullamento dell'ordine, che si può o non si è annullato.
• Una fattura per un acquisto.
• La ricezione di un acquisto.
• Banking documento dichiarazione.
• Altri file importanti.

I messaggi di posta elettronica inviati in relazione con la Dharma ransomware di .combo versione può anche essere fatta come se provengono da diversi dipendenti di società o anche qualcuno che può sapere, per esempio:

Il .combo Dharma ceppo ransomware è stato trovato per usare un sofisticato infezione e-mail basati su modello. Un ceppo catturato che agisce contro obiettivi di lingua russa dimostra che i portatori di payload sono distribuiti in messaggi mascherati da dati contabili. I contenuti del corpo si legge che il mittente sta inoltrando un foglio di calcolo o database con dati sensibili. Il file può essere collegato direttamente al messaggio o collegato nei contenuti del corpo.

I criminali consegnerà un file archiviato. Una volta che viene aperta da parte degli utenti vittima che wil trovano diversi file, tra cui un secondo file di archivio. Se viene aperta ed estratto verrà eseguito uno script che porta alla distribuzione ransomware. La sua interessante notare che ci possono essere diversi modelli e scenari già pronti localizzate nelle lingue più popolari.

Dharma .combo Virus Variant – Attività

Dharma ransomware è il tipo di virus che è stato attivo per un bel po 'di tempo. il ransomware, che ha iniziato prima di infettare le vittime a marzo, l'anno scorso con la sua variante che aggiunge l'estensione del file .dharma ed era inizialmente decifrabile. Ma subito dopo, Altre versioni di Dharma iniziato che scorre in, ognuno dei quali con nuovi aggiornamenti e senza un modo di lavoro per decifrare i file:

• Dharma .wallet variante.
• Dharma .arena variante.
• Dharma .cezar variante(usato per fare questa versione).
• Dharma .arrow variante.
• Versione Dharma .onion.
• virus .java Dharma.
• Dharma .block variante.
• Dharma .cobra variante.
• Dharma .bip variante (più tardi prima .combo)
• Dharma v2 variante (un tipo strano).

Quando si tratta di variante corrente di Dharma ransomware, utilizzando l'estensione .combo, si è rapidamente venuto a leggero, che questo brutto pezzo di codice è una parte della .Cesare famiglia di Dharma (vedi sopra), il che significa, naturalmente, che condividono il codice simile e probabilmente le stesse modalità di crittografia.

Quando questa variante ransomware Dharma infetta il computer, il malware inizia in modo efficace per eseguire una serie di attività dannose, l'idea principale è quello di dare i permessi di virus per eseguire come amministratore sul computer. Le attività che possono essere eseguite dal virus file .combo sono suscettibili di essere il seguente:

• Creazione di mutex.
• Creazione di voci di valore in Editor del Registro di Windows.
• Cancellazione di backup.
• Creazione di attività pianificate.
• Disabilitare il ripristino del sistema.
• Cambiare lo sfondo del computer.
• Modifica dei file di sistema e registri.

Tra le attività del Dharma .combo ransomware è a cadere è il carico sul vostro computer. Il virus può scendere vari file con nomi diversi nelle directory di Windows comunemente mirati qui sotto:

Dopo la creazione è file dannosi, la variante .combo del Dharma ransomware può colpire dove fa più male e attaccare le sotto-chiavi Run e del Registro di sistema RunOnce del vostro Windows Registry Editor, al fine di impostare le voci malevoli che ottengono si tratta di file del virus che è responsabile per la codifica dei dati importanti per l'esecuzione automaticamente quando si accede in Windows. i sotto-chiavi Run e RunOnce hanno le seguenti posizioni nel Editor del Registro:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

Una volta che questi Registro di sistema sotto-chiavi vengono modificati, il virus può quindi eseguire un file di script dannoso (.pipistrello). Questo file è usato per per la variante .combo del Dharma ransomware di eliminare i backup copie shadow dei vostri documenti importanti e quindi disattivare ripristino di Windows in modo che non si può utilizzare per ottenere i file indietro tramite Windows Backup:

→ sc arresto idraulici
sc arresto wscsvc
sc arresto WinDefend
sc stop wuauserv
sc Bit di stop
sc fermare ERSvc
sc fermare WerSvc
cmd.exe / C bcdedit / set {predefinito} recoveryenabled No
cmd.exe / C bcdedit / set {predefinito} ignoreallfailures bootstatuspolicy
C:\Windows System32 cmd.exe "/ C Vssadmin.exe Delete Shadows / Tutti / Quiet

Dharma .combo ransomware – crittografia Attività

Simile ad altre versioni di Dharma ransomware, questa variante utilizza anche algoritmo di crittografia AES per codificare i file. AES è anche conosciuto come Advanced Encryption Standard e sta usando tecniche di generazione di chiavi asimmetriche dopo la crittografia dei file. L'algoritmo è nominale del Suite.B categoria di cifre che vengono utilizzati anche dalla NSA per crittografare le informazioni sensibili e, quindi, tenere gli occhi indiscreti lontano da esso.

L'attività inizia con la crittografia .combovariante di Dharma ransomware per cominciare a verificare la presenza di vari tipi di file per crittografare e tra questi tipi di file sono quelli che sono suscettibili di essere importante. In altre parole, questi sono i tipi di file più comunemente utilizzati dagli utenti, come:

"PNG .PSD .PspImage .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF xlr .XLS .XLSX .accdb .DB DBF MDB PDB .SQL .apk .APP bat .cgi .COM .EXE .gadget .JAR PIF wsf .DEM .gam .NES .ROM .SAV CAD .dwg .DXF GIS file .GPX .KML .KMZ .ASP ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .jsp .PHP .rss .xhtml. DOC DOCX .LOG .MSG .ODT .pagine .RTF .tex .TXT .WPD .WPS .CSV .DAT .ged .KEY .keychain .PPS .PPT PPTX ..INI .PRFEncodedFiles .HQX .mim .uue .7z .cbr .deb .GZ .PKG .RAR .rpm .sitx .TAR.GZ .ZIP .ZIPX BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML file audio. AIF .IFF .M3U .M4A .MID .MP3 .mpa WAV WMA file video .3g2 .3GP .ASF .AVI FLV .m4v .MOV .MP4 .MPG .RM .SRT .SWF VOB WMV 3D .3dm .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV ICNS .ICO .LNK .SYS. CFG”

Aggiornamento novembre 2018: In tutto il monitoraggio dei file ransomware e gli attacchi in corso gli esperti di sicurezza hanno scoperto diverse varianti del virus file .combo. Uno di quelli successivi hanno dimostrato un po 'diverso elenco delle estensioni di file di destinazione:

.ibid, .JBC, .PST (ora standard del Pacifico, .ost, .tubo, .tbk, .dietro, .traghetto, .ABK, .AS4, .asd, .ashbak, .di riserva, .bck, .vg, .BK1, .BKC, .BKF,
.BKP, .boe, .bpa, .BPD, .BUP, .CMB, .FBF, .FBW, .A nome di, .Ful, .gho, .ipd, .NB7, .nba, .NBD, .NBF, .NBI, .NBU, .nco,
.OEB, .vecchio, .Qin, .SN1, .SN2, .in, .posti letto, .stg, .imparare, .vincere, .XBK, .iso, .htm, .html, .saluti, .P7, .P7C, .pem, .sgn,
.secondo, .cielo, .csr, .djvu, .il, .stl, .crt, .p7b, .pfx, .fb, .FB2, .tif, .bisticcio, .pdf, .doc, .docx, .docm, .rtf,
.xls, .xlsx, .xlsm, .ppt, .pptx, .PPSX, .txt, .cdr, .JPE, .jpg, .jpeg, .png, .bmp, .JIFF, .JPF, .strato, .pov, .crudo,
.cf, .CFN, .TBN, .XCF, .paura, .chiave, .eml, .TBB, .dwf, .uovo, .FC2, .FCZ, .fg, .FP3, .aiutare, .OAB, .psd, .PSB, .PCX,
.dwg, .vale a dire, .DXE, .chiusura, .ZipX, .7da, .rar, .rev, .afp, .BFA, .cpc, .BSK, .enc, .RZK, .RZX, .testa, .timido, .SNK, .ACCDB,
.LDF, .accdc, .adp, .DBC, .dbx, .dbf, .DBT, .DXL, .edb, .CEE, .CIS, .MXL, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb,
.kdb, .kdbx, .1CD, .dt, .erf, .lgp, .md, .EPF, .efb, .ghiaccio, .EFN, .EMD, .emr, .fine, .EOG, .erb, .ebn, .riflusso, .prefabbricato,
.jif, .wor, .csv, .msg, .msf, .Storia, .PWM, .ai, .eps, .abd, .repx, .OXPS, .puntino.

Ma il .combo variante di Dharma ha un modo intelligente di crittografia dei file. Essa non si limita a cifrare qualsiasi file sul vostro PC per non danneggiare di Windows. I cassonetti virus crittografia file nelle cartelle di sistema di Windows, in modo che si può ancora utilizzare il PC per pagare il riscatto:

• %Del posto%
• %Temp%
• %Finestre%
• %Sistema%
• %File di programma%
• %System32%

Per crittografare i file sul computer, Dharma ransomware crea copie dei file e quindi elimina le versioni originali di loro. Questo modo, il virus ha creato fratelli crittografati dei file e non c'è modo di invertire il processo utilizzando diversi modi per hackerare i file (per esempio, prendere un file originale per riempire il codice e mettere a punto un metodo di decrittazione). Dopo la crittografia è completa, i file cominciano ad apparire come la seguente:

Il cifrario AES genera quindi una chiave di decodifica che può essere utilizzato in modo efficace solo dai cyber-criminali dopo le vittime li pagano, che non è consigliabile in questo caso. Un motivo per cui il pagamento non è un'opzione è perché non v'è alcuna garanzia che otterrete i vostri file indietro e un altro è che pagando sostenete quei truffatori di continuare a sviluppare il Dharma e l'impostazione dei computer “a fuoco”.