.bgtx Files Virus (Dharma Ransomware) - Verwijder + Data herstellen

.GTX Dharma Virus – infectie methoden

Dharma ransomware is geen gewone virus, dus het maakt geen gebruik van gewone infectie methoden. De belangrijkste indicator van het compromis dat is gedetecteerd te laten vallen de kwaadaardige bestanden van Dharma is gemeld bij VirusTotal aan de volgende specificaties te hebben:

SHA-256:7e623dca8a26a45440c331e383ac6ce3783d5c1bd60b91ee91ce0cc5841633e2
Bestandsgrootte:219.5 KB

Het bestand kan worden verspreid via verschillende methoden, maar de belangrijkste verdachte moet worden gerepliceerd via e-mail. Dit gebeurt wanneer de oplichters zorgvuldig te vermommen een e-mail naar een schadelijke bijlage bevatten. Meestal meeste bijlagen voordoen als .PDF of .docx-bestanden en ze zich voordoen als legitieme bestanden van groot belang, bijvoorbeeld:

• Orderweigering informatie.
• Factuur voor een aankoop
• Ontvangst voor iets wat je misschien hebt gekocht.
• Belangrijke veiligheid document van uw bank.
• Document van je baas of een collega.

Deze e-mails worden zorgvuldig gemaakt, zodat ze blijken uit grote bedrijven te komen, zoals FedEx, PayPal, LinkedIn of andere grote bedrijven. Sommige van de e-mails doen alsof ze afkomstig zijn van een betrouwbare persoon of iemand op uw e-mail lijst met contactpersonen. De berichten altijd aan te sporen om de bijlage te openen zoals het is “zeer belangrijk”:

Bovendien, .GTX Dharma virus wordt ook gedetecteerd op een zeer ingewikkelde methode infectie, vastmaken van Russisch-sprekende tarets en vermommen berichten als een vorm van boekhoudkundige informatie. De inhoud van de e-mails lijken alsof afzenders een soort van spreadsheet of data informatie die belangrijk is. De bestanden worden altijd verbonden aan de boodschap en zo niet, ze zijn gekoppeld aan een externe Dropbox of andere file-sharing-account.

De boeven zijn ook in staat om gearchiveerde bestanden te leveren, die geen bestanden die zich voordoen als documenten bevatten. wanneer geopend, ze kunnen automatisch geplaatst verband met de payload download server of pak de payload van Dharma direct op het slachtoffer PC.

Naast deze, de .bgtx variant van Dharma ransomware kan ook worden verspreid via verschillende programma's die worden geüpload op low-reputatie plaatsen, zoals software scheuren, Patches, licentie activators, laders, draagbare versies van freeware apps en vele andere .exe bestanden, dus wees voorzichtig en controleer altijd bestanden voordat ze te downloaden.

Dharma .bgtx Ransomware- Schadelijke Activity

Dharma ransomware virussen actief zijn geweest voor veel tijd en ze hebben nogal de naam verworven voor zichzelf als een van de meest verspreide degenen. Zij vloeien voort uit de Crysis ransomware familie met de eerste Dharma variant, natuurlijk het dragen van de .dharma bestand achtervoegsel het gebruikt om toe te voegen aan de bestanden en de variant zelf was decryptable. Maar de Dharma makers daar niet te stoppen en hebben nu vrijgegeven een heleboel andere varianten van de malware, waarvan de meeste zijn niet decryptable. Sommige van deze varianten is beneden te zien:

• Dharma .wallet variant.
• Dharma .arena variant.
• Dharma .cezar variant(gebruikt om deze versie te maken).
• Dharma .arrow variant.
• Dharma .onion versie.
• Dharma .java virus.
• Dharma .block variant.
• Dharma .cobra variant.
• Dharma .bip variant (uiterlijk voor .combo)
• Dharma v2 variant (een vreemde één).

En nu komen we tot dit punt, waar de huidige Dharma variant maakt gebruik van de .bgtx bestandsextensie welke IT-advertenties aan de versleutelde bestanden naast een nieuwe e-mail adres.

Na infectie met het .bgtx Dharma variant komt, niet veel is veranderd in de kwaadaardige acties van het virus uitvoert op uw computer:

• Oprichting van verschillende mutexen.
• Waardecreatie snaren met aangepaste gegevens in Windows Register-editor.
• bakckups wissen en schaduw bestanden kopiëren.
• Het plannen van taken aan maliciou draaien bestanden of het losgeld nota bij het opstarten.
• Het uitschakelen van herstelpunten en systeemherstel.
• De achtergrond wijzigen.
• Het wijzigen van sysem bestanden (aandoenlijk).

Dharma .bgtx ransomware kan ook vallen is het schadelijke bestanden onder verschillende, vaak willekeurige namen in het algemeen gerichte Windows directories:

Wanneer Dharma ransomware is gedaald dat het bestanden, de malware belemmert ook het Windows Register-editor door het creëren van het register waarde vermeldingen in de Run en RunOnce sub-sleutels van de Windows Register-editor. Ze hebben de volgende locatie:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

Wanneer Dharma .bgtx variant creëert waarde strings in die sub-keys, het virus voegt de locatie van het coderen van bestanden, dus het vinden van hen is een cruciale stap op weg naar het vinden van waar de kwaadaardig bestand van de malware zich bevindt.

Dharma .bgtx ransomware kan ook een script uit te voeren als beheerder in Windows Command Prompt. Het script is bedoeld om de schaduw volume exemplaren in Windows te verwijderen en eventuele back-ups uit te schakelen. Zij kan bestaan ​​uit de volgende opdrachten:

→ sc stop loodgieterswerk
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe / C bcdedit / set {standaard} recoveryenabled Geen
cmd.exe / C bcdedit / set {standaard} bootstatuspolicy ignoreallfailures
C:\Windows System32 cmd.exe "/ C vssadmin.exe Delete Shadows / All / Quiet

Dharma .bgtx Ransomware Virus – encryptie

Wanneer Dharma ransomware versleutelt bestanden, het virus kan de Advanced Encryption Standard in dienst, ook bekend als AES. De code gebruikt een asymmetrische sleutel genereren die een sleutel die vervolgens gemaskeerd en kan niet worden gelezen door het slachtoffer produceert. Het algoritme is een zeer zware dobber te decoderen, want het is geclassificeerd als een Suite.B soort cipher, gebruikt door overheidsinstanties om bestanden die gevoelig zijn versleutelen. Het cijfer kan echter worden gedecodeerd als er een bug in de code van Dharma .bgtx die het mogelijk maakt het te doen worden gedaan.

De encryptie proces van Dharma .bgtx ransomware begint met het zoeken naar het specifieke bestandstypen het virus zal versleutelen. Deze bestandstypen bevatten vaak gebruikte bestanden, zoals bestanden met de volgende extensies:

"PNG .PSD .pspimage .TGA .THM .TIF .TIFF .YUV .AI EPS .PS .SVG .indd .pct .PDF .xlr XLS XLSX .accdb .DB .DBF MDB .PDB .SQL APK .app BAT .cgi .COM .EXE .gadget .JAR PIF wsf .dem .gam NES .ROM .SAV CAD bestanden DWG DXF GIS Files .GPX .KML .KMZ .ASP .aspx .CER .cfm .CSR .CSS HTM HTML .JS .jsp .PHP .rss .xhtml. DOC .DOCX .LOG .MSG .odt .pagina .RTF .tex TXT .WPD .WPS CSV .DAT .ged .KEY .KEYCHAIN ​​.PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .mim .uue .7z .cbr .deb GZ .pkg .RAR .rpm .sitx .TAR.GZ ZIP .ZIPX BIN .CUE .DMG .ISO .MDF dress.Toast .VCD SDF .tar .TAX2014 .TAX2015 .VCF XML-audiobestanden. AIF .IFF .M3U .M4A .MID- .MP3 .mpa WAV WMA Videobestanden .3g2 .3GP .ASF AVI FLV M4v MOV MP4-.MPG .RM SRT .SWF .VOB .WMV 3D .3 dm .3DS .MAX .OBJR.BMP .dds .GIF .JPG ..CRX .plugin .FNT .fon .otf .TTF .CAB .CPL .CUR .DESKTHEMEPACK DLL .dmp drv .icns ICO LNK .SYS. CFG”

Dharma ransomware kan overslaan het versleutelen van bestanden in de mappen we hieronder vermelde, als ze zijn systeemmappen van Windows en het slachtoffer moet nog zijn of haar computer om het losgeld te betalen:

• %Lokale%
• %Temp%
• %Windows%
• %Systeem%
• %Program Files%
• %System32%

De encryptie proces zelf bestaat uit een aantal keten van acties die plaatsvinden. Voor degenen Kortom, Dharma maakt gewoon een kopie van het originele bestand, die versleutelt en voegt de .bgtx extensie plus een unieke ID en de e-mail van de boeven(decrypt@fros.cc). Dharma ransomware verwijdert dan het originele bestand, waardoor alleen het versleutelde bestand, lijkende zoals blijkt uit onderstaande afbeelding: