.bipファイルウイルス (ダルマランサムウェア) –ファイルの削除と復元

.bipファイルウイルス – 6月の更新 2018

The .bipファイルウイルス 6月の初めから、セキュリティ研究者によってさらに活発に拡散していることが検出されました。, 2018. ランサムウェアウイルススパマーは同じ手法を使用します – 悪意のあるマクロを介してユーザーに感染する悪意のある電子メールの添付ファイル. 一連の活動, 感染の成功につながるのは、ディスプレイの下のグラフィックとして実行されます:

もありました 野生でリリースされるダルマランサムウェアの新しい亜種, .comboファイル拡張子を使用する 暗号化されたファイルに追加. ランサムウェアウイルスは、Dharmaランサムウェアの.cezarファミリーに基づいており、以下の関連記事で詳細を確認できます。:

.bipファイルウイルス – どのように感染しますか

被害者のコンピュータに効果的に感染させるために, .bipファイルウイルスは、被害者に自動的に送信される電子メールを介して、かなり頻繁に使用される配布手段を使用します, 言い換えればスパム. これらのタイプのメッセージは、ある種の正当な文書であるという意味で、そのコンテンツを信頼することにより、被害者に悪意のある添付ファイルを開くように説得することを目的としています。, 例えば:

• 購入の請求書.
• 銀行取引明細書.
• 購入の領収書.
• あなたが行ったかもしれないし、しなかったかもしれない注文.
• その他の重要なファイル.

送信される電子メール, ダルマランサムウェアの感染ファイルを運ぶ, を使用して .bipファイル拡張子 被害者を説得して開業させるために、企業の従業員である人々から来たように作られています, 例えば:

Dharma.bipファイルウイルス – 悪意のある活動

このランサムウェアウイルスの感染がコンピュータで発生したとき, それの最初の行動は準備タイプの活動を行うことです, そのような:

• ミューテックスを作成するには.
• Windowsレジストリエディタと対話する.
• システムバックアップとシャドウコピーを削除する.
• 壁紙を変更するか、身代金メモファイルをデスクトップで開くように自動的にスケジュールします.
• 管理者権限を取得するために、一部のWindowsキーファイルにアクセスする可能性があります.

の主な悪意のあるファイル .ダルマランサムウェアのbipバリアント 実行可能タイプのファイルであると報告されています, 次の名前と署名:

SHA-256:044d3d36c7e7377e29da769397b3e173b21acc2a07a676c377d0335c36e0e01f
名前:detrimentalnue.exe
ファイルサイズ:431 KB
ソース:VirusTotal

後に .ダルマランサムウェアのbipバージョン すでに被害者のコンピュータに感染ファイルをドロップしています, ペイロードファイルをWindowsの次のディレクトリにドロップする場合があります:

• %ローカル％
• %ローミング％
• %アプリデータ％
• %温度％
• %ウィンドウズ％

そうした後, the .bip反復 の だるまウイルス また、Windowsレジストリエディタとの対話を開始する場合があります. マルウェアは、WindowsのRunおよびRunOnceレジストリサブキーにWindowsレジストリエントリを追加する可能性があります, 次の場所で:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

これらのレジストリサブキーは、主にWindowsの起動時にプログラムを実行する場合に使用されるものであり、Dharmaランサムウェアはそれらを使用して独自の設定を設定し、感染したPCで悪意のあるファイルやその他のモジュールを自動的に実行します。 Windowsを起動するとき. それらのアクティビティの1つは、Windowsシャドウボリュームのコピーを削除することです。, これは、自動的に実行され、Windowsコマンドプロンプトで次のコマンドを実行するスクリプトを介して実行されます:

→ bcdedit / set bootstatuspolicyignoreallfailures
bcdedit /setrecoveryenabledいいえ
bcdedit / set {デフォルト} bootstatuspolicyignoreallfailures
bcdedit / set {デフォルト} リカバリ対応いいえ
vssadmin削除シャドウ/for={音量} /最も古い/all/ shadow ={影のID} /静かな

ランサムウェアウイルスは、被害者にその存在を確実に知らせるために、複数の異なる種類のアクティビティを実行することを目的としています。. これには、被害者のコンピューターのファイルに身代金メモをドロップすることも含まれます, 次のように表示されます:

Dharma.bipランサムウェア – 暗号化プロセス

他の亜種と同じように だるま , この反復ではAESを使用します (高度暗号化標準) として分類される暗号 Suite.B 暗号化アルゴリズムであり、目のみのタイプのファイルを暗号化するためにNSAによっても使用されます. このアルゴリズムは、コンピューターのファイルのデータを変更して、ファイルを開くことができなくなるようにします. このアクティビティにより、Dharmaランサムウェアはコンピュータ上のファイルを破損しているように見せ、将来どのような形式のソフトウェアでも開くことができなくなります。.

マルウェアは最も頻繁に使用されるファイル拡張子を含むファイルの種類を探すため、ダルマウイルスはファイルを暗号化する前にスキャンを実行します, そのような:

「PNG.PSD.PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM.SAVCADファイル.DWG.DXFGISファイル.GPX.KML.KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015.VCF.XMLオーディオファイルAIF .IFF .M3U .M4A .MID .MP3 .MPA.WAV.WMAビデオファイル.3G2.3GP.ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS CFG」

The .ダルマのbipファイルバリアント それらのフォルダ内のファイルを暗号化しないのに十分賢いです:

• %ウィンドウズ％
• %システム32％
• %システム％
• %ローカル％
• %温度％
• %プログラムファイル％

これは、重要なドキュメントを使用できないときにコンピュータをそのままにしておくための予防策です。. によって暗号化されるファイル だるまランサムウェア 次の画像が示すように表示され始めます: