Dharma Ransomware - Hoe te verwijderen?

 

Er werd melding gemaakt van een infecties van werkstations door de Dharma ransomware twee dagen geleden, op 16 november, 2016. Er werd gemeld dat het zowel individuele als netwerk computers infecteerde. Interessant om weten is dat soms het virus sommige netwerk computers niet aantast. Bovendien kan deze rare ransomware ook de losgeldbrief niet achterlaten – dit is het belangrijke bericht, waarin slachtoffers uitgelegd wordt wat er gebeurde en ze instructies krijgen over wat te doen. Er wordt van de Dharma crypto-locker gedacht dat het een nieuwe variant van de CrySiS ransomware is, vanwege sommige hex patronen in de voetnoot van de bestanden.

Wat technische aspecten van de Dharma Ransomware

Er zijn nog steeds meer vragen dan antwoorden over deze bestand versleutelende dreiging met de naam Dharma. Het patroon dat het gebruikt om data te coderen richt zich enkel tot de C schijf. Deze nieuwe versleutel malware voegt de .[bitcoin143@india.com].dharma of .[worm01@india.com].dharma extensie toe aan het versleutelde bestand, afhankelijk van wat de specifieke contact e-mail is. In het eerste geval, zal het oorspronkelijke Document.doc de naam Document.[bitcoin143@india.com].dharma krijgen, in het tweede scenario zal het Document.doc bestand na versleuteling Document.[worm01@india.com].dharma noemen. De definitieve lijst van doelwit bestanden is nog niet uitgebracht.

Interessant genoeg, vervangt het Dharma data-versleuteling virus je bereaublad achtergrond niet met een achtergrond die de losgeldbrief bevat. Sommige versies van dit ransomware virus hebben echter wel de losgeldbrief, deze bevind zich in het README.txt bestand in de Startup map. De tekst is de volgende:

AANDACHT!

Momenteel wordt je systeem niet beschermd.

Wij kunnen het herstellen en de bestanden terugzetten.

Om het systeem te herstellen schrijf je aan dit adres:

bitcoin143@india.com

Telkens de geïnfecteerde pc herstart wordt zal het Dharma crypto virus elk nieuw bestand dat werd opgeslagen op de C schijf versleutelen. De namen van de uitvoeringsbestanden die de payload van de malware bevatten zijn; Skanda.exe, plink.exe, in de map opFirlma, en worm.exe.

Op welke manier wordt de snelle verspreiding van de Dharma Ransomware uitgevoerd?

De specifieke methode waarop de Dharma file locker computers infecteert werd nog niet vrijgegeven. Dus neemt men aan dat dit crypto virus zich op dezelfde manier verspreid als andere ransomware virussen. Dit refereert naar het versturen van geïnfecteerde spam e-mails die doen alsof ze belangrijke info bevatten over belastingen, boetes, pakketjes etc. Ze kunnen zelfs speciale merktekens van officiële instanties en/of bedrijven bevatten. Daarnaast kan het Dharma versleuteling virus ook geïnstalleerd worden op je pc samen met wat gratis downloads, DLL (Dynamic Link Library) gijzeling, exploit aanvallen, etc.

Aanbevelingen voor het verwijderen van de Dharma Ransomware

Het wordt aanbevolen om de Dharma Trojaan te verwijderen met professionele tools. We have the antivirus programs in mind. Wij bevelen aan om toepassingen zoals Reimage, Spyhunter of Malwarebytes te gebruiken om de ransomware te verwijderen en het systeem volledig te reinigen. Aan het einde van het artikel vind je bovendien handmatige verwijderingsinstructies die je kunnen helpen om de Dharma ransomware Trojaan van je pc te verwijderen.

Aanbevelingen voor het herstellen van je data

De Kaspersky decoder RakhniDecrypter voor CrySiS werkt niet bij Dharma. Zelfs als je de extensie wijzigt in deze van Dharma zal je een foutmelding krijgen, die zegt niet ondersteund bestandstype. Dus resten je nog de volgende opties om je versleutelde bestanden te herstellen. Na het maken van een image bestand van de geïnfecteerde C schijf en het verwijderen van de ransomware, moet je je back-up gebruiken of ShadowExplorer opstarten om te weten te komen of de Shadow Copies verwijdert werden of niet. Als beide niet helpen bij jou, gebruik dan data recovery software zoals Recuva, data restoration software by Kaspersky Lab, etc.

Update van 18 december, 2016. De Dharma ransomware is begonnen met het gebruiken van de amagnus@india.com e-mail als contact.

Hoe Dharma Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Dharma Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Dharma Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Dharma Ransomware.


3. Herstel door Dharma Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Dharma Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

 

Dharma Ransomware schermafbeeldingen

 
         
januari 20, 2017 09:20, januari 20, 2017 09:20
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *