.Vírus Arquivos de combinação (Dharma Ransomware) – Retirar + restaurar arquivos

.Vírus combinação Dharma – Como isso Infect

Um monte de métodos de infecção têm sido usados ​​quando se trata de Dharma ransomware vírus ea mais recente variante arquivos .combo não é diferente do que. Os objectivos vírus ransomware para enganar os usuários de que é um tipo legítimo de programa ou um documento que é ou enviado a eles via e-mail ou enviados on-line. Se esta variante do Dharma ransomware é enviado via malicioso spam de e-mail, os bandidos podem fazê-lo como se os e-mails são provenientes de grandes empresas dos gostos de FedEx, DHL, PayPal e outros. Além de conter mensagens convincentes, os e-mails também têm a posar anexo como um documento aparentemente importante, tal como:

• arquivos de cancelamento de ordem que você pode ou não cancelados.
• Uma factura de uma compra.
• Recebimento de uma compra.
• documento declaração Banking.
• Outros arquivos importantes.

As mensagens de e-mail enviadas em relação com o Dharma de ransomware .combinação versão também pode ser feita como se originam de diferentes funcionários de empresas ou até mesmo alguém que você pode saber, por exemplo:

O .combo Dharma tensão ransomware foi encontrado usar um sofisticado infecção por email padronizar. Uma cepa capturado que age contra de língua russa alvos mostra que os portadores de carga são distribuídos em mensagens disfarçadas de dados contábeis. O conteúdo do corpo lê que o remetente é transmitida uma folha de cálculo ou base de dados com dados sensíveis. O arquivo pode ser conectado diretamente à mensagem ou ligados no conteúdo do corpo.

Os criminosos vão entregar um arquivo arquivado. Uma vez que é aberta pelos usuários vítima eles wil encontrar vários arquivos entre os quais um segundo arquivos compactados. Se ele for aberto e extraído um script será executado levando à implantação ransomware. É interessante notar que pode haver diferentes modelos e cenários prontos localizadas na maioria dos idiomas populares.

Lei .combo Virus Variant – Atividade

Dharma ransomware é o tipo de vírus que estava ativo por algum tempo agora. o ransomware, que começou a infectar vítimas em março, no ano passado com a sua variante que adiciona a extensão de arquivo .dharma e foi inicialmente decryptable. Mas logo depois, outras versões do Dharma começou a fluir em, cada um dos quais com novas atualizações e sem uma forma de trabalho para descriptografar os arquivos:

• Dharma .wallet variante.
• Dharma .arena variante.
• Religião .cezar variante(usado para fazer esta versão).
• Dharma .arrow variante.
• versão .onion Dharma.
• vírus .java Dharma.
• Dharma .block variante.
• Dharma .cobra variante.
• Dharma .bip variante (mais recente .combo antes)
• Dharma v2 variante (um estranho).

Quando se trata da variante atual do Dharma ransomware, usando a extensão .combo, que rapidamente vir a luz, que este pedaço desagradável de código é uma parte do .César família de Dharma (Veja acima), que, naturalmente, significa que eles compartilham o código semelhante e provavelmente os mesmos modos de criptografia.

Quando esta variante ransomware Dharma infecta seu computador, o malware efetivamente começa a executar um conjunto de atividades maliciosas, a idéia principal de que é dar as permissões de vírus para executar como administrador no seu computador. As atividades que podem ser executadas pelo vírus arquivos .combo são susceptíveis de ser a seguinte:

• criando mutexes.
• Criando entradas de valor no Editor do Registro do Windows.
• apagar backups.
• Criar tarefas agendadas.
• Desativando a recuperação do sistema.
• Alterando o papel de parede no seu computador.
• Modificando arquivos de sistema e registros.

Entre as atividades da Dharma .combo ransomware é para soltá-lo da carga útil no seu computador. O vírus pode cair vários arquivos com nomes diferentes nos diretórios comumente direcionados janelas abaixo:

Depois de criar é arquivos maliciosos, a variante .combo de Dharma ransomware pode atacar onde dói mais e atacar as sub-chaves de registro Run e RunOnce de seu Editor de Registro do Windows, a fim de definir entradas maliciosas que obtê-lo do arquivo de vírus que é responsável por codificar os seus dados importantes para corrida automaticamente quando você faz logon no Windows. as sub-chaves Run e RunOnce têm as seguintes localizações no Editor do Registro:

→ HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion

Uma vez que estes registo sub-chaves são modificados, o vírus pode então executar um arquivo script malicioso (.bastão). Este arquivo é usado para que a variante .combo de Dharma ransomware para excluir os de backup cópias de sombra de seus documentos importantes e, em seguida, Recuperação desativar Windows para que você não pode usá-lo para obter os arquivos de backup através de backup do Windows:

→ VVS sc stop
wscsvc parada sc
parada WinDefend sc
wuauserv parar sc
BITS sc stop
sc stop ERSvc
sc stop WerSvc
cmd / C bcdedit / conjunto {padrão} recoveryenabled Não
cmd / C bcdedit / conjunto {padrão} ignoreallfailures bootstatuspolicy
C:\Windows System32 cmd.exe”/ C Vssadmin.exe Apagar Sombras / All / Quiet

Dharma .combo Ransomware – Atividade Encryption

Semelhante a outras versões do Dharma ransomware, esta variante também usa o algoritmo de criptografia AES para codificar seus arquivos. AES também é conhecido como Advanced Encryption Standard e está usando técnicas de geração de chaves assimétricas após a criptografia de arquivos. O algoritmo é par do Suite.B categoria de cifras que também são usados ​​pela NSA para criptografar informações confidenciais e, portanto, manter olhos curiosos longe dela.

A atividade criptografia começa com a .combinaçãovariante do Dharma ransomware para começar a verificar a existência de vários tipos de arquivo para criptografar e entre esses tipos de arquivo são os que são susceptíveis de ser importante. Em outras palavras estes são os tipos de arquivo mais comumente usado por usuários, tal como:

“PNG PSD .PSPIMAGE .TGA THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .indd .PCT .PDF .xlr .XLS .XLSX .ACCDB .DB DBF MDB .PDB .SQL .apk Ficheiros .APP .BAT .CGI .COM .EXE .gadget .JAR .pif .wsf .dem .GAM NES .ROM .SAV CAD DWG DXF GIS .GPX .KML .kmz .ASP .ASPX .CER .CFM .csr .CSS .HTM .HTML .JS .jsp .PHP .rss .xhtml. DOC .DOCX .LOG .MSG .ODT .páginas .RTF .tex .TXT .WPD .WPS .CSV .DAT .ged .KEY .KEYCHAIN ​​.pps .PPT .PPTX ..INI .PRFEncodedFiles .HQX .mim .UUE .7z .cbr .DEB .GZ .PKG .RAR .RPM .SITX .tar.gz .ZIP .zipx .BIN CUE .DMG .ISO .MDF .toast .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML arquivos de áudio. Arquivos FIA .IFF .M3U .M4A .MID .MP3 O AMF .WAV .WMA Vídeo .3g2 .3GP .ASF .AVI FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3dm .3DS .MAX .OBJR.BMP .dds .GIF .JPG ..CRX .plugin .FNT .FON .OTF .TTF CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .icns .ICO LNK .SYS. CFG”

actualização de novembro 2018: Durante todo o monitoramento dos arquivos ransomware e os ataques em curso especialistas em segurança descobriram diversas variantes do vírus arquivos .combo. Um dos posteriores demonstraram um pouco diferente lista de extensões de tipo de arquivo de destino:

.ibid, .jbc, .PST, .ost, .tubo, .tbk, .atrás, .gamela, .abandonar, .AS4, .asd, .ashbak, .cópia de segurança, .bck, .bdb, .bk1, .BKC, .bkf,
.PKP, .boe, .EPS, .bpd, .bup, .CMB, .FBF, .FBW, .fh, .ful, .gho, .etc., .nb7, .nba, .nbd, .nbf, .ubi, .tristeza, .memória,
.OEB, .velho, .QIC, .SN1, .SN2, .sna, .dorme, .stg, .ensina, .ganhar, .xbk, .iso, .htm, .html, .em relação a, .p7, .P7C, .estab, .sgn,
.seg, .cer, .csr, .djvu, .o, .tamanho, .crt, .P7B, .pfx, .fb, .fb2, .tif, .arrufo, .pdf, .doutor, .docx, .docm, .rtf,
.xls, .xlsx, .xlsm, .ppt, .PPTX, .ppsx, .TXT, .cdr, .JPE, .jpg, .jpeg, .png, .bmp, .instante, .JPF, .dobra, .pov, .cru,
.cf, .CFN, .TBN, .xcf, .susto, .chave, .eml, .tbb, .DWF, .ovo, .FC2, .FCZ, .fg, .FP3, .ajuda, .oab, .psd, .PSB, .pcx,
.dwg, .ou seja, .dxe, .fecho eclair, .Zipx, .7de, .rar, .rotação, .afp, .bfa, .cpc, .bsk, .enc, .RZK, .RzX, .cabeça, .tímido, .SNK, .ACCDB,
.ldf, .accdc, .adp, .dbc, .dbx, .dbf, .DBT, .dxl, .computador, .eql, .mdb, .mxl, .mdf, .sql, .sqlite, .sqlite3, .sqlitedb,
.kdb, .kdbx, .1CD, .dt, .erf, .lgp, .md, .epf, .efb, .gelo, .EFN, .EMD, .emr, .fim, .eog, .erb, .ebn, .vazante, .casa pré-fabricada,
.JIF, .wor, .csv, .msg, .msf, .história, .PWM, .para, .eps, .abd, .repx, .OXPS, .ponto.

Mas o .combinação variante do Dharma tem uma maneira inteligente de criptografar arquivos. Ele não apenas criptografar qualquer arquivo no seu PC, pois isso irá danificar o Windows. Os saltos de vírus criptografar arquivos nas pastas de sistema do Windows, de modo que você ainda pode usar seu PC para pagar o resgate:

• %Local%
• %temp%
• %Janelas%
• %Sistema%
• %Arquivos de Programas%
• %System32%

Para criptografar os arquivos no seu computador, Dharma ransomware cria cópias dos arquivos e exclui as versões originais deles. Deste jeito, o vírus criou irmãos criptografados dos seus arquivos e não há maneira de reverter o processo usando diferentes formas de hackear os arquivos (por exemplo, tomar um arquivo original para preencher o código e elaborar um método de decodificação). Após a criptografia está completa, os arquivos começam a aparecer como o seguinte:

A cifra AES, em seguida, gera uma chave de decodificação, que pode ser utilizada de forma eficaz apenas pelos ciber-criminosos após vítimas pagá-los, que não é aconselhável neste caso. Uma razão pela qual o pagamento não é uma opção porque não há garantia de que você vai ter os seus arquivos de volta e outra é que, pagando-lhe apoiar esses criminosos para continuar a desenvolver Dharma e configuração de computadores “em chamas”.