.Vírus de arquivos bgtx (Dharma Ransomware) - Retirar + Restaurar dados

.Bgtx Dharma Virus – Métodos de infecção

Ransomware Dharma não é um vírus comum, portanto, não usa métodos de infecção comuns. O principal indicador de comprometimento que foi detectado para descartar os arquivos maliciosos do Dharma é relatado em VirusTotal ter as seguintes especificações:

SHA-256:7e623dca8a26a45440c331e383ac6ce3783d5c1bd60b91ee91ce0cc5841633e2
Tamanho do arquivo:219.5 KB

O arquivo pode ser espalhado por diferentes métodos, mas o principal suspeito é ser replicado via e-mail. Isso acontece quando os bandidos disfarçam cuidadosamente um e-mail para conter um anexo malicioso. Normalmente, a maioria dos anexos fingem ser arquivos .PDF ou .docx e se apresentam como arquivos legítimos de grande importância, por exemplo:

• Detalhes de rejeição de pedido.
• Fatura de compra
• Recibo de algo que você pode ter comprado.
• Documento de segurança importante do seu banco.
• Documento do seu chefe ou colega.

Esses e-mails são cuidadosamente feitos para que pareçam vir de grandes empresas, como FedEx, PayPal, LinkedIn ou outras grandes empresas. Alguns dos e-mails fingem vir de uma pessoa de boa reputação ou de alguém da sua lista de contatos de e-mail. As mensagens sempre pedem para abrir o anexo, pois é "muito importante":

além disso, .vírus bgtx Dharma também foi detectado que usa um método de infecção muito complicado, anexar tarets em russo e disfarçar mensagens como uma forma de informação contábil. O conteúdo dos e-mails aparece como se os remetentes enviassem algum tipo de planilha ou informações de dados importantes. Os arquivos são sempre anexados à mensagem e se não, eles estão vinculados a um Dropbox externo ou outra conta de compartilhamento de arquivos.

Os criminosos também podem entregar arquivos arquivados, que contém arquivos que fingem ser documentos. quando aberto, eles podem iniciar automaticamente a conexão com o servidor de download de carga ou extrair a carga de Dharma diretamente no PC da vítima.

Além desta, a .bgtx variante do Dharma ransomware também pode ser espalhada por meio de diferentes programas que são carregados em sites de baixa reputação, como rachaduras de software, manchas, ativadores de licença, carregadores, versões portáteis de aplicativos freeware e muitos outros arquivos .exe, então tenha cuidado e sempre verifique os arquivos antes de baixá-los.

Dharma .bgtx Ransomware- atividade maliciosa

Os vírus de ransomware Dharma têm estado ativos por um tempo significativo e ganharam o nome de ser um dos mais difundidos. Eles derivam da família de ransomware CrySiS com a primeira variante Dharma, carregando naturalmente o sufixo de arquivo .dharma usado para anexar aos arquivos e a própria variante era decryptable. Mas os fabricantes de Dharma não pararam por aí e agora lançaram muitas outras variantes do malware, a maioria dos quais não são decifráveis. Algumas dessas variantes podem ser vistas abaixo:

• Dharma .wallet variante.
• Dharma .arena variante.
• Religião .cezar variante(usado para fazer esta versão).
• Dharma .arrow variante.
• versão .onion Dharma.
• vírus .java Dharma.
• Dharma .block variante.
• Dharma .cobra variante.
• Dharma .bip variante (mais recente .combo antes)
• Dharma v2 variante (um estranho).

E agora chegamos a este ponto, onde a corrente Dharma variante usa o .extensão de arquivo bgtx que é anunciado para os arquivos criptografados junto com um novo endereço de e-mail.

Após a ocorrência de uma infecção com a variante .bgtx Dharma, não mudou muito nas ações maliciosas que o vírus executa no seu computador:

• Criação de vários mutexes.
• Criação de strings de valor com dados personalizados no Editor de registro do Windows.
• Excluindo remontagens e arquivos de cópia de sombra.
• Agendar tarefas para executar arquivos maliciosos ou sua nota de resgate na inicialização.
• Desativar pontos de restauração e recuperação do sistema.
• Mudando seu papel de parede.
• Modificando arquivos de sistema (tocante).

O ransomware Dharma .bgtx também pode colocar seus arquivos maliciosos em diferentes, nomes frequentemente aleatórios nos diretórios do Windows comumente visados:

Quando o Dharma ransomware cai, seus arquivos, o malware também interfere no Editor de registro do Windows criando entradas de valor de registro nas subchaves Run e RunOnce do Editor de registro do Windows. Eles têm a seguinte localização:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

Quando Dharma .bgtx variante cria strings de valor nessas subchaves, o vírus adiciona a localização do arquivo de criptografia, portanto, encontrá-los é uma etapa crucial para descobrir onde o arquivo malicioso do malware está localizado.

Dharma .bgtx O ransomware também pode executar um script como administrador no prompt de comando do Windows. O script visa excluir as cópias do volume de sombra no Windows e desativar todos os backups. Pode consistir nos seguintes comandos:

→ VVS sc stop
wscsvc parada sc
parada WinDefend sc
wuauserv parar sc
BITS sc stop
sc stop ERSvc
sc stop WerSvc
cmd / C bcdedit / conjunto {padrão} recoveryenabled Não
cmd / C bcdedit / conjunto {padrão} ignoreallfailures bootstatuspolicy
C:\Windows System32 cmd.exe”/ C Vssadmin.exe Apagar Sombras / All / Quiet

Vírus Dharma .bgtx Ransomware – Encryption

Quando o Dharma ransomware criptografa arquivos, o vírus pode empregar o Advanced Encryption Standard, também conhecido como AES. A cifra usa uma geração de chave assimétrica que produz uma chave que é então mascarada e não pode ser lida pela vítima. O algoritmo é muito difícil de descriptografar, pois é classificado como um tipo de cifra Suite.B, usado por agências governamentais para criptografar arquivos que são confidenciais. A cifra pode, no entanto, ser descriptografada se houver um bug no código de Dharma .bgtx que permite que seja feito.

O processo de criptografia do Dharma .bgtx ransomware começa com a verificação dos tipos de arquivos específicos que o vírus criptografará. Esses tipos de arquivo incluem arquivos usados ​​com frequência, como arquivos com as seguintes extensões:

“PNG PSD .PSPIMAGE .TGA THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .indd .PCT .PDF .xlr .XLS .XLSX .ACCDB .DB DBF MDB .PDB .SQL .apk Ficheiros .APP .BAT .CGI .COM .EXE .gadget .JAR .pif .wsf .dem .GAM NES .ROM .SAV CAD DWG DXF GIS .GPX .KML .kmz .ASP .ASPX .CER .CFM .csr .CSS .HTM .HTML .JS .jsp .PHP .rss .xhtml. DOC .DOCX .LOG .MSG .ODT .páginas .RTF .tex .TXT .WPD .WPS .CSV .DAT .ged .KEY .KEYCHAIN ​​.pps .PPT .PPTX ..INI .PRFEncodedFiles .HQX .mim .UUE .7z .cbr .DEB .GZ .PKG .RAR .RPM .SITX .tar.gz .ZIP .zipx .BIN CUE .DMG .ISO .MDF .toast .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML arquivos de áudio. Arquivos FIA .IFF .M3U .M4A .MID .MP3 O AMF .WAV .WMA Vídeo .3g2 .3GP .ASF .AVI FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3dm .3DS .MAX .OBJR.BMP .dds .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .icns .ICO LNK .SYS. CFG”

O ransomware Dharma pode pular a criptografia de arquivos nas pastas mencionadas abaixo, pois são pastas de sistema do Windows e a vítima ainda precisa de seu computador para pagar o resgate:

• %Local%
• %temp%
• %Janelas%
• %Sistema%
• %Arquivos de Programas%
• %System32%

O próprio processo de criptografia é composto por várias cadeias de ações que ocorrem. Para resumir, Dharma simplesmente cria uma cópia do seu arquivo original, que criptografa e adiciona o .bgtx extensão de arquivo mais uma identificação única e o e-mail dos criminosos(decrypt@fros.cc). O Dharma ransomware exclui o arquivo original, deixando apenas o arquivo criptografado, parecido com a imagem abaixo mostra: