Dharma Ransomware - Hur Tar Man Bort?

 

Dharma Ransomware har rapporterats infektera arbetsstationer den 16:e november 2016. Det har både rapporterats infektera singulära datorer till nätverksdatorer. En intressant sak dock är att viruset ibland lämnar en del av nätverksdatorerna orörda. Dessutom så lämnar detta ransomware inget meddelande om lösensumma, meddelandet som berättar för användare vad som hänt och hur de går tillväga för att lösa det. Krypteringsprogrammet Dharma anses vara en ny variant av CrySiS ransomware enligt en del av de HEX-mönster vid sidfoten av filerna.

En del teknisk information om Dharma Ransomware

Det finns fortfarande fler frågor än svar gällande detta nya filkrypterande hot vid namn Dharma. Tillvägagångssättet det riktar in sig på för att kryptera data fokuserar endast på C-enheten. Detta nya krypterande skadeprogram lägger till [bitcoin143@india.com].dharma eller .[worm01@india.com].dharma som filändelse på varje krypterad fil, beroende på vilken specifik e-postadress som används. Med exemplet ovan skulle Document.doc bli Document.[bitcoin143@india.com].dharma, alternativt Document.[worm01@india.com].dharma om den andra mejlen används. Den slutgiltiga listan med fullständig information har inte presenterats än.

Intressant nog så byter inte det datakrypterande viruset Dharma ut offrets bakgrund på skrivbordet med meddelande om lösensumma. Dock har en del versioner av detta ransomware virus en README.txt fil som placeras i uppstartsmappen. Meddelandet är då följande:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To restore the system write to this address:

bitcoin143@india.com

Vid varje uppstart av en infekterad PC kommer krypteringsviruset Dharma kryptera varje ny fil som finns lagrad i C-enheten. Skanda.exe, plink.exe i mappen opFirlma, samt worm.exe är de namnen av de körbara filerna som upptäckts innehålla lasten av skadeprogrammet i det.

På vilket sätt lyckas Dharma Ransomware expandera sig så hastigt?

Den specifika metoden för hur Dharma Ransomware infekterar datorer är ännu oklar. Dock anses det att krypteringsviruset troligen följer de vanliga tillvägagångssätten som ransomwares har. Med andra ord via infketerad skräppost som låtsas innehålla viktig information gällande skatt, böter, paket m.m. De kan även innehålla logotyper av institut eller företag. Krypteringsviruset Dharma kan installeras till datorer via gratisprogram, DLL (Dynamic Link Library) kapning, attacker mot sårbarheter m.m.

Rekommendationer för eliminering av Dharma Ransomware

Trojanen Dharma rekommenderas att elimineras via professionella verktyg. Vi tänker framförallt på antivirusprogram. Vår rekommendation vore att köra ett program som t.ex. Reimage, Spyhunter eller Malwarebytes för att eliminera både ransomware viruset och alla andra infektioner som kan ha tagit sig in. I slutet av artikeln finner du även manuella instruktioner för att eliminera trojanen Dharma Ransomware från din dator.

Rekommendationer vid återställning av data

Kaspersky dekrypteraren RakhniDecrypter för CrySiS fungerar inte i fallet med Dharma. Även om du skulle ändra filändelserna av Dharma så kommer det endast ge ett felmeddelande, vilket indikerar ”unsupported file type”. Du lämnas med andra ord med andra alternativ. Nästa steg efter att du kopierat den infekterade C-enheten och eliminerat ransomware viruset, det är att använda din backup eller köra ShadowExplorer för att se om Shadow Volume kopiorna har blivit raderade eller inte. Om inget av dessa alternativ fungerar för dig kan du testa ett dataåterställningsverktyg som t.ex. Recuva, ett vektyg av Kaspersky Lab eller annat.

Hur du tar bort Dharma Ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Dharma Ransomware infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Dharma Ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Dharma Ransomware.


3. Återställ Dharma Ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Dharma Ransomware radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

Liknande bilder

 
related image #1 from Dharma Ransomware
     
 

Om författaren

 
december 30, 2016 08:53, december 30, 2016 08:53
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *