本文的目的是幫助解釋更多有關Dharma Ransomware病毒的最新版本,并幫助您從計算機中刪除此勒索病毒感染并嘗試恢復加密的.combo文件擴展名加密的文件
世界各地的報道已經開始總結有關新的和危險的勒索病毒感染 Dharma?Ransomware(.combo變體)。與其他版本的Dharma勒索軟件一樣,此病毒使用高級加密模式對您計算機上的文件進行編碼,使其無法再打開,將其轉換為以下格式 -?Filename.id {ID-here}.[combo@tutanota.de?].combo。這種危險的Dharma勒索病毒有一個明確的目標,那就是勒索受害者支付巨額贖金費。這項操作是通過留下贖金票據類型的文件來完成的,該文件包含贖金指令,旨在引起恐懼,即受害者必須支付贖金“費用”或文件可能永遠丟失。如果您的計算機感染了.combo變種的Dharma勒索病毒,您需要了解情況是否嚴重。繼續閱讀本文,以深入了解有關Dharma勒索軟件最新變體的信息,并了解如何嘗試恢復.combo文件的替代方法。
.combo Dharma Ransomware 病毒信息:
.combo Dharma Virus - 它是如何感染的
Dharma勒索病毒已經使用了很多感染方法,最新的.combo文件變體與此沒有什么不同。勒索軟件旨在欺騙用戶它是一種合法類型的程序或通過電子郵件發送給他們或在線上傳的文檔。如果這種Dharma勒索軟件的變種是通過惡意電子郵件垃圾郵件發送的,那么這些騙子可能就好像這些電子郵件來自FedEx,DHL,PayPal等公司的大公司。除了包含令人信服的信息之外,電子郵件還有附件構成一個看似重要的文件,例如:
1.您可能已取消或未取消的訂單取消文件。
2.購買發票。
3.收到購買。
4.銀行對賬單文件。
5.其他重要文件。
與Dharma勒索病毒的.combo版本相關的電子郵件消息也可以制作為好像它們來自公司的不同員工,甚至是您可能認識的人,例如:
已經發現.combo Dharma勒索軟件使用復雜的基于電子郵件的感染模式。有效載荷載體分布在偽裝成會計數據的消息中。正文內容讀取發件人正在轉發包含敏感數據的電子表格或數據庫。該文件可以直接附加到消息或鏈接在正文內容中。
犯罪分子將提供一份存檔文件。一旦被受害者用戶打開,他們就會找到幾個文件,其中包含第二個存檔文件。如果打開并解壓縮,將執行腳本導致勒索軟件部署。有趣的是,可能會有不同的模板和現成的場景以最流行的語言進行本地化。
如果傳播Dharma勒索病毒的.combo變體的文件是在線上傳的,則它們通常可能駐留在惡意網站或可能在某種程度上受到危害的合法torrent網站上。這些文件通常假裝是游戲補丁,軟件破解,激活器,加載器,密鑰生成器,修復程序,程序的便攜式版本,便攜式游戲以及您可能希望下載的許多其他程序。
Dharma .combo病毒變種 - 活動
Dharma勒索病毒是一種活躍了很長一段時間的病毒。這首先開始感染的受害者在三月份,去年與它的變種,增加了.dharma文件擴展名。但不久之后,其他版本的Dharma開始流入,每個版本都有新的更新:
Dharma?.arrow變種。
當涉及到Dharma勒索的當前變型中,使用.combo延伸,同一個家庭這自然意味著它們共享相似的代碼和可能相同的加密模式。
當此Dharma勒索軟件變種感染您的計算機時,惡意軟件會有效地開始執行一系列惡意活動,其主要目的是授予病毒作為計算機管理員身份運行的權限。.combo文件病毒可能執行的活動可能如下:
1.創建互斥鎖。
2.在Windows注冊表編輯器中創建值條目。
3.擦除備份。
4.創建計劃任務。
5.禁用系統恢復。
6.更改計算機上的壁紙。
7.修改系統文件和注冊表。
在Dharma的活動中,.combo勒索軟件是將它的有效載荷遺留在你的計算機上。病毒可能會在以下常用目標Windows目錄中刪除具有不同名稱的各種文件:
在創建惡意文件之后,Dharma勒索病毒的.combo變體可能會攻擊最受傷害的地方并攻擊Windows注冊表編輯器的Run和RunOnce注冊表子鍵,以便設置惡意條目以獲取其負責的病毒文件將重要數據編碼為在登錄Windows時自動運行。Run和RunOnce子鍵在注冊表編輯器中具有以下位置:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \?
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
一旦修改了這些注冊表子密鑰,病毒就可以運行惡意腳本文件(.bat)。此文件用于Dharma勒索病毒的.combo變體刪除重要文檔的備份卷影副本,然后禁用Windows恢復,以便您無法使用它通過Windows備份恢復文件:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet
Dharma .combo勒索軟件 - 加密活動
與其他版本的Dharma勒索病毒類似,此變體也使用AES加密算法對您的文件進行編碼。AES也稱為高級加密標準,在加密文件后使用非對稱密鑰生成技術。該算法屬于Suite.B類別的密碼,NSA也使用這些密碼來加密敏感信息,從而使窺探遠離它。
加密活動從Dharma勒索軟件的.combo變體開始,以開始檢查要加密的各種文件類型,并且這些文件類型中可能很重要。換句話說,這些是用戶最常用的文件類型,例如:
“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視頻文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。
但Dharma?的.combo變體有一種加密文件的聰明方法。它不僅會加密PC上的任何文件,因為這會損壞Windows。該病毒會跳過加密Windows系統文件夾中的文件,這樣您仍然可以使用您的PC支付贖金:
%Local%
%Temp%
%Windows%
%System%
%Program Files%
%System32%
為了加密計算機上的文件,Dharma勒索病毒會創建文件的副本,然后刪除它們的原始版本。這樣,病毒就會創建文件的加密兄弟,并且無法通過使用不同的方法來破解文件來反轉該過程(例如,使用一個原始文件來填充代碼并設計解密方法)。加密完成后,文件開始顯示如下:
然后,AES密碼生成一個解密密鑰。
刪除Dharma Ransomware并恢復.combo加密文件
刪除此Dharma勒索病毒的變體,分為手動移除指令和自動移除方法。如果您缺乏執行手動刪除的經驗,請注意,在這種情況下,根據專家的最佳行動方案是使用高級反惡意殺毒軟件軟件刪除Dharma .combo勒索病毒。此類軟件將自動掃描您的PC,然后確保此版本的Dharma永久消失,并使用它的實時防護罩,以確保您的PC在未來也能抵御任何惡意病毒軟件感染。
如果你想恢復由Dharma勒索軟件病毒的.combo變種加密的文件,請注意目前無法直接解密,但我們正在監控情況,并將使用解密說明進行更新,在此之前,歡迎您嘗試我們建議的替代方法,以便在步驟“2中恢復盡可能多的文件。恢復由.combo Dharma Virus加密的文件。它們可能無法以100%的成功率工作,但其中一些可能能夠恢復很少或更多的編碼文件。
要刪除.combo Dharma Virus,請按照下列步驟操作:
1.以安全模式啟動PC以隔離和刪除.combo Dharma病毒文件和對象
第1步:打開“?開始”菜單。
第2步:單擊電源按鈕(對于Windows 8,它是“關閉”按鈕旁邊的小箭頭),在按住“Shift”的同時單擊“?重新啟動”。
第3步:重啟后,將出現帶有選項的藍色菜單。從他們你應該選擇疑難解答。
第4步:您將看到“?疑難解答”菜單。從此菜單中選擇“?高級選項”。
第5步:出現“?高級選項”菜單后,單擊“?啟動設置”。
第6步:從Startup Settings菜單中,單擊Restart。
第7步:重啟后會出現一個菜單。您可以通過按相應的數字選擇三個安全模式選項中的任何一個,機器將重新啟動。
第8步:修復PC上惡意病毒軟件和PUP創建的注冊表項。
2.在您的PC上查找.combo Dharma Virus創建的文件
第1步:在鍵盤上按??+ R并在“?運行”文本框中編寫explorer.exe,然后單擊“?確定”按鈕。
第2步:從快速訪問欄中單擊您的PC。這通常是帶有顯示器的圖標,其名稱可以是“我的電腦”,“我的電腦”或“此電腦”或您命名的任何名稱。
第3步:導航到PC屏幕右上角的搜索框,然后鍵入“fileextension:”,然后鍵入文件擴展名。如果您正在尋找惡意可執行文件,例如可能是“fileextension:exe”。完成此操作后,請留出空格并鍵入您認為惡意軟件已創建的文件名。以下是找到您的文件時的顯示方式:
3.使用高級殺毒軟件掃描惡意病毒軟件和惡意程序
?掃描您的PC并使用防惡意殺毒軟件工具刪除.combo Dharma病毒并備份您的數據
4.嘗試恢復.combo Dharma Virus加密的文件
勒索軟件病毒感染和.combo Dharma Virus旨在使用加密算法加密您的文件,這可能很難解密。這就是為什么我們建議了幾種可以幫助您繞過直接解密并嘗試恢復文件的替代方法。請記住,這些方法可能不是100%有效,但也可能在不同情況下幫助您一點或多少。
方法1:使用數據恢復軟件掃描驅動器的扇區恢復數據。
方法2:嘗試解密器。
方法3:在密碼病毒通過網絡通過嗅探工具發送解密密鑰時查找解密密鑰。
關注服務號,交流更多解密文件方案和恢復方案
