.コンボファイルウイルス (ダルマランサムウェア) – 削除する + ファイルを復元する

.コンボダルマウイルス – どのように感染しますか

ダルマランサムウェアウイルスに関しては、多くの感染方法が使用されており、最新の.comboファイルの亜種はそれと同じです。. ランサムウェアウイルスは、正当な種類のプログラムまたは電子メールで送信されるかオンラインでアップロードされるドキュメントであるとユーザーを欺くことを目的としています。. ダルマランサムウェアのこの亜種が悪意のある電子メールスパムを介して送信された場合, 詐欺師は、電子メールがFedExなどの大企業から送信されているかのように見せかける可能性があります。, DHL, PayPalなど. 説得力のあるメッセージを含むことに加えて, 電子メールには、一見重要なドキュメントを装った添付ファイルもあります, そのような:

• キャンセルしたかどうかわからない注文キャンセルファイル.
• 購入の請求書.
• 購入の領収書.
• 銀行取引明細書.
• その他の重要なファイル.

ダルマランサムウェアに関連して送信される電子メールメッセージ .コンボ バージョンは、会社のさまざまな従業員やあなたが知っているかもしれない誰かからのものであるかのように作成することもできます, 例えば:

.combo Dharmaランサムウェア株は、洗練されたものを使用していることが判明しています 電子メールベースの感染 パターン. ロシア語を話すターゲットに対して作用する捕捉された株は、ペイロードキャリアがアカウンティングデータを装ったメッセージで配布されていることを示しています. 本文の内容は、送信者が機密データを含むスプレッドシートまたはデータベースを転送していることを示しています. ファイルはメッセージに直接添付するか、本文のコンテンツにリンクすることができます.

犯罪者はアーカイブされたファイルを配信します. 被害者のユーザーが開くと、いくつかのファイルが見つかり、その中に2番目のアーカイブファイルがあります。. 開いて抽出すると、スクリプトが実行され、ランサムウェアの展開につながります. 最も人気のある言語にローカライズされたさまざまなテンプレートや既製のシナリオがある可能性があることに注意するのは興味深いことです.

Dharma.comboウイルスバリアント – アクティビティ

ダルマランサムウェアは、かなり長い間活動していたウイルスの一種です。. ランサムウェア, 3月に最初に被害者に感染し始めました, 昨年は.dharmaファイル拡張子を追加したバリアントで、当初は 復号化可能. しかしすぐに, 他のバージョンのダルマが流入し始めました, それぞれが新しいアップデートで、ファイルを復号化するための実用的な方法がありません:

• Dharma.walletバリアント.
• ダルマ.arenaバリアント.
• ダルマ.cezarバリアント(このバージョンを作成するために使用).
• だるま.arrowバリアント.
• だるま玉ねぎバージョン.
• ダルマ.javaウイルス.
• だるま.blockバリアント.
• ダルマ.cobraバリアント.
• ダルマ.bipバリアント (.comboより前の最新)
• ダルマv2バリアント (奇妙なもの).

ダルマランサムウェアの現在の亜種になると, .combo拡張子を使用する, それはすぐに来ました ライト, この厄介なコードは、 .セザール だるまの家族 (上記を参照), これは当然、それらが同様のコードを共有し、おそらく同じ暗号化モードを共有することを意味します.

このDharmaランサムウェアの亜種がコンピュータに感染したとき, マルウェアは、一連の悪意のあるアクティビティを効果的に実行し始めます, その主なアイデアは、ウイルスにコンピュータの管理者として実行する権限を与えることです。. .comboファイルウイルスによって実行される可能性のあるアクティビティは、次のようになる可能性があります:

• ミューテックスの作成.
• Windowsレジストリエディタでの値エントリの作成.
• バックアップの消去.
• スケジュールされたタスクを作成する.
• システムリカバリの無効化.
• コンピューターの壁紙を変更する.
• システムファイルとレジストリの変更.

Dharma .comboランサムウェアの活動の中には、そのペイロードをコンピューターにドロップすることがあります. このウイルスは、以下の一般的にターゲットとなるWindowsディレクトリに異なる名前のさまざまなファイルをドロップする可能性があります:

悪意のあるファイルを作成した後, Dharmaランサムウェアの.comboバリアントは、最も痛いところを攻撃し、WindowsレジストリエディタのRunおよびRunOnceレジストリサブキーを攻撃して、実行する重要なデータのエンコードを担当するウイルスファイルを取得する悪意のあるエントリを設定する可能性がありますWindowsにログインすると自動的に. RunおよびRunOnceサブキーは、レジストリエディタで次の場所にあります:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

これらのレジストリサブキーが変更されると, ウイルスは悪意のあるスクリプトファイルを実行する可能性があります (.バット). このファイルは、Dharmaランサムウェアの.comboバリアントが重要なドキュメントのバックアップされたシャドウコピーを削除し、Windowsリカバリを無効にして、Windowsバックアップを介してファイルを取り戻すことができないようにするために使用されます。:

→ sc停止VVS
sc停止wscsvc
scはWinDefendを停止します
scはwuauservを停止します
scストップBITS
sc停止ERSvc
sc停止WerSvc
cmd.exe / C bcdedit / set {デフォルト} リカバリ対応いいえ
cmd.exe / C bcdedit / set {デフォルト} bootstatuspolicyignoreallfailures
C:\Windows System32 cmd.exe” /Cvssadmin.exeシャドウの削除/All/ Quiet

Dharma.comboランサムウェア – 暗号化アクティビティ

他のバージョンと同様 だるま ランサムウェア, このバリアントは、AES暗号化アルゴリズムを使用してファイルをエンコードします. AESはAdvancedEncryptionStandardとも呼ばれ、ファイルを暗号化した後に非対称キー生成技術を使用しています. アルゴリズムは、 Suite.B NSAが機密情報を暗号化するためにも使用する暗号のカテゴリ。.

暗号化アクティビティは、 .コンボ暗号化するさまざまなファイルタイプのチェックを開始するDharmaランサムウェアの亜種であり、それらのファイルタイプの中には重要である可能性が高いものがあります. 言い換えれば、これらはユーザーによって最も一般的に使用されるファイルの種類です, そのような:

「PNG.PSD.PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM.SAVCADファイル.DWG.DXFGISファイル.GPX.KML.KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015.VCF.XMLオーディオファイルAIF .IFF .M3U .M4A .MID .MP3 .MPA.WAV.WMAビデオファイル.3G2.3GP.ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3 .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS CFG」

11月の更新 2018: ランサムウェアファイルと進行中の攻撃の監視を通じて、セキュリティの専門家は.comboファイルウイルスのいくつかの亜種を発見しました. 後の1つはわずかに異なることを示しました ターゲットファイルタイプ拡張子のリスト:

.ebd, .jbc, .PST, .ost, .ティブ, .tbk, .焼く, .bac, .abk, .as4, .asd, .ashbak, .バックアップ, .bck, .bdb, .bk1, .bkc, .bkf,
.bkp, .boe, .bpa, .bpd, .bup, .cmb, .fbf, .fbw, .fh, .フル, .ゴー, .ipd, .nb7, .nba, .nbd, .nbf, .nbi, .nbu, .nco,
.oeb, .年, .qic, .sn1, .sn2, .sna, .spi, .stg, .uci, .勝つ, .xbk, .iso, .htm, .html, .mht, .p7, .p7c, .ペム, .sgn,
.秒, .cer, .csr, .djvu, .der, .stl, .crt, .p7b, .pfx, .fb, .fb2, .tif, .tiff, .pdf, .doc, .docx, .docm, .rtf,
.xls, .xlsx, .xlsm, .ppt, .pptx, .ppsx, .TXT, .cdr, .jpe, .jpg, .jpeg, .png, .bmp, .ジフ, .jpf, .プライ, .pov, .生,
.cf, .cfn, .tbn, .xcf, .xof, .鍵, .eml, .tbb, .dwf, .卵, .fc2, .fcz, .fg, .fp3, .パブ, .oab, .psd, .psb, .pcx,
.dwg, .dws, .dxe, .ジップ, .zipx, .7z, .rar, .rev, .afp, .bfa, .bpk, .bsk, .enc, .rzk, .rzx, .sef, .シャイ, .snk, .accdb,
.ldf, .accdc, .adp, .dbc, .dbx, .dbf, .dbt, .dxl, .edb, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb,
.kdb, .kdbx, .1CD, .dt, .erf, .lgp, .md, .epf, .efb, .eis, .efn, .emd, .emr, .終わり, .eog, .erb, .ebn, .引き潮, .プレハブ,
.jif, .wor, .csv, .msg, .msf, .kwm, .pwm, .ai, .eps, .abd, .repx, .oxps, .ドット.

しかし .コンボ ダルマの変種はファイルを暗号化するスマートな方法を持っています. これはWindowsに損傷を与えるため、PC上のファイルを暗号化するだけではありません. このウイルスは、Windowsのシステムフォルダ内のファイルの暗号化をスキップします, PCを使って身代金を支払うことができるように:

• %ローカル％
• %温度％
• %ウィンドウズ％
• %システム％
• %プログラムファイル％
• %システム32％

コンピューター上のファイルを暗号化するには, ダルマランサムウェアはファイルのコピーを作成し、それらの元のバージョンを削除します. こちらです, ウイルスはあなたのファイルの暗号化された兄弟を作成しました、そしてファイルをハッキングするために異なる方法を使用することによってプロセスを逆転させる方法はありません (例えば, 1つの元のファイルを使用してコードを埋め、復号化方法を考案します). 暗号化が完了した後, ファイルは次のように表示され始めます:

次に、AES暗号は、被害者が支払いを行った後、サイバー犯罪者のみが効果的に使用できる復号化キーを生成します。, この場合はお勧めできません. 支払いが選択肢にない理由の1つは、ファイルを取り戻す保証がないためです。もう1つは、支払いを行うことで、ダルマの開発とコンピューターの設定を続ける詐欺師をサポートするためです。 “燃えている”.