Escala de gravidade:  
  (99/100)

Vírus ransomware Dharma. Como remover ? (Guia de desinstalação)

Jake Doevan de escrito por... - - | Digite: Ransomware
12

Ransomware Dharma ransomware desbrava a larga escala

Dharma ransomware note

Dharma é o nome de um enorme grupo ransomware que usa as extensões de ficheiro .dharma, .wallet, .zzzzz, .cezar ou .cesar para marcar ficheiros que encripta no computador da vítima. O vírus está programado para funcionar como uma ferramenta de extorsão virtual que corrompe todos os ficheiros com um algoritmo de encriptação sofisticado e deixa uma nota de resgate com instruções sobre como pagar um resgate para recuperar dados encriptados.

No início de 2017 pareceu que a era do ransomware Dharma terminara devido ao vazamento do software de segurança. Todavia, após alguns meses de silêncio, uma nova variante do vírus foi detetada: o vírus extensão de ficheiro .onion. É cedo para falar sobre o dano desta variante, no entanto parece que os programadores do malware recuperaram do falhanço e decidiram atacar novamente.

O Dharma chamou primeiro a atenção dos analistas de malware em Novembro de 2016. No início, surgiram muitas especulações sobre esta ciber-infeção. Os peritos estavam a discutir se este vírus é uma criação original dos programadores de ransomware ou apenas uma versão recente de alguma família maior de cripto-ransomware. Poderá ser tão perigosa quanto o vírus Locky ?

Desde o surgimento deste ransomware, os peritos apontaram a sua semelhança com o ransomware CrySiS e o facto da versão inicial do vírus poder ser desencriptada. Outro facto que se assemelha ao malware CrySiS é alguém (provavelmente alguém envolvido com o desenvolvimento do ransomware) ter publicado muitas chaves de desencriptação do Dharma num fórum da Internet. Consequentemente, a ferramenta de desencriptação de vírus inicial foi atualizada e agora as vítima podem tentar desencriptar os ficheiros novamente: as hipóteses de uma das chaves vazadas poder desbloquear os seus ficheiros são altas.

Provavelmente a versão ransomware do Dharma mais propagada é conhecida por usar amagnus@india.com para informar as pessoas sobre os seus ficheiros encriptados e pedir que paguem um resgate. Esta informação é também providenciada em info.hta ou numa nota de resgate de nome diferente.

Devemos acrescentar que, de acordo com os nossas últimas informações, as versões atuais do Dharma usam estas extensões para marcar os ficheiros encriptados:

  • .cesar, 
  • .dharma, 
  • .wallet, 
  • .zzzzz,
  • .arena,
  • .cezar. 

Em Abril de 2017, investigadores de malware detetaram uma nova versão do vírus à espreita na rede. Devido à extensão de ficheiro anexa, esta variante recente é chamada vírus extensão de ficheiro .onion. O vírus ainda não começou a propagar-se ativamente, porém, poderá ser uma vingança dos hackers e outra tentativa de desenvolver uma ameaça cibernética perigosa.

No dia da sua aparição, os peritos em segurança não sabiam muito sobre o Dharma em geral e acreditavam ser um dos vírus da nova geração. Parece que os programadores do vírus estavam a tentar mantê-lo o mais obscuro possível e não seguiram os padrões típicos de outros criadores. Por exemplo, o vírus não deixou notas de resgate ou quaisquer outros documentos adicionais que deixassem saber que o vírus se escondia no sistema.

Em Novembro, as ferramentas antivírus também pareciam não detetá-lo, complicando significativamente a remoção do Dharma. Não obstante, agora pode usar software como o Reimage para eliminar este ransomware do computador. Portanto, antes de dar qualquer passo de remoção do vírus, certifique-se que tem as ferramentas apropriadas para o(a) auxiliar.

As versões mais recentes do Dharma deixam uma simples notas de resgate no computador infetado com diz:

ATENÇÃO!
De momento, o seu sistema não está protegido.
Podemos consertá-lo e restaurar os ficheiros.
Para restaurar o sistema escreva para este endereço:
bitcoin143@india.com

Como pode ver, as vítimas têm de contactar com os criminosos através de um endereço de e-mail providenciado na nota e perguntar-lhes sobre o resgate necessário para recuperar os ficheiros afetados. À parte do e-mail, irá também ver .cezar, .cesar, .dharma, .wallet ou .zzzzz anexas ao final de cada linha. Por exemplo, se o seu ficheiro for picture.jpg, a versão afetada do ficheiro será picture.jpg[endereço_e-mail].dharma.

É interessante que os endereços de e-mail que os hackers fornecem variam. Portanto, quando infetado pelo vírus, poderá ser-lhe pedido que escreva para bitcoin143@india.com, worm01@india.com (este vírus deixa o ficheiro worm.exe no sistema), btc2017@india.comoron@india.com ou outro endereço de e-mail @india.com. Uma das mais recentes variantes, o Arena, recomenda que escreva para sindragosa@bigmir.net. Recomendamos vivamente que não o faça. Não tem absolutamente forma de saber o que esperar deste bando de extorcionistas e como contactá-los pode acabar.

É mais razoável simplesmente remover o Dharma e usar o seu computador normalmente. Se continuar a usá-lo com um ransomware a correr, sempre que reiniciar o sistema irá resultar em novos ficheiros encriptados.

Relativamente aos métodos de recuperação de dados, pode restaurar os seus ficheiros com o auxílio de uma cópia de segurança dos dados ou uma ferramenta de desencriptação Rakhni atualizada. Porém, um dos visitante da 2-Spyware reportou um chocante método de desencriptação do Dharma que o ajudou a restaurar os ficheiros com a extensão de ficheiro .[oron@india.com].dharma gratuitamente. O visitante diz que conseguiu restaurar os arquivos de dados encriptados usando o programa 7-Zip. Para mais informação, veja os métodos de recuperação de dados abaixo do artigo.

A lita completa de malware Dharma

Vírus ransomware Oron@india.com. Os programadores de ransomware simplesmente não podem continuar os seus negócios sem fazer melhorias nas suas criações maliciosas. O ransomware Dharma não é exceção. O vírus sofreu muitas alterações e diferentes versões do mesmo circulam na rede. Uma das versões é o ransomware oron@india.com. O vírus é nomeado com as extensões que adiciona aos ficheiros encriptados.

Portanto, o computador infetado pelo oron@india.com irá ter muitos ficheiros a terminar em .[oron@india.com].dharma. A utilização de um endereço de e-mail para indicar ficheiros encriptados sugere que pode ser a chave para a sua desencriptação. Ou pelo menos os hackers querem que acredite nisso.

Às vítimas que contactarem os ciber-criminosos através deste endereço é exigido que enviem dinheiro (Bitcoins) para a conta Bitcoin indicada enquanto os hackers prometem entregar uma chave de desencriptação. Não obstante, pagar aos extorcionistas não é necessário pois pode desbloquear os seus ficheiros usando o Dharma Decrypter. 

Vírus ransomware Zzzzz. É outra versão do vírus que partilha as suas extensões com o famoso vírus Locky. Não é claro se os programadores do zzzzz tiraram a ideia do Locky ou se a utilização das mesmas extensões para indicar os ficheiros encriptados é uma mera coincidência. Apesar das probabilidades, estes vírus não estão relacionados e são baseados em diferentes códigos. Não obstante, isto não torna o vírus zzzzz menos perigoso do que o desagradável vírus Locky.

Ainda encripta ficheiros tornando-os inacessíveis às vítimas e exige pagamento pela chave de acesso. Pode usar o Dharma Decrypter para tentar a recuperação dos ficheiros zzzzz, mas o mais importante é remover o vírus do computador para prevenir mais dano.

Vírus ransomware Wallet. Wallet é a última versão do Dharma que anexa as extensões .wallet aos ficheiros encriptados. As vítimas de ransomware são também incitadas a contactar os criminosos através do endereço de e-mail fornecido (amagnus@india.com) e não fornecem detalhes específicos em adiantado. O vírus certifica-se que as vítimas estão familiarizadas com as condições de recuperação dos dados substituindo o fundo de ecrã do computador por uma imagem da nota de resgate.

Além disso, os extorcionistas definem um limite de 72 horas para pagar o resgate e alegam que se as vítimas falharem o pagamento dentro do prazo, a chave de desencriptação será destruída e irão perder acesso aos ficheiros para sempre. Claro que existem sempre alternativas e não tem de sucumbir às exigências dos criminosos. Simplesmente rode para baixo para o final deste artigo e verifique as opções de recuperação dos dados recomendadas pelos peritos.

Vírus ficheiro .onion. A mais recente variante do ransomware Dharma foi detetado em Abril de 2017. O vírus propaga-se através de anexos de e-mail maliciosos, e assim que a vítima clica num anexo infetado, o malware esgueira-se para dentro do sistema. No dispositivo afetado, o ransomware inicia o scan ao sistema e procura os tipos de ficheiro visados. Para a encriptação dos dados, usa um algoritmo sofisticado que impede os utilizadores de aceder aos seus ficheiros.

O ransomware anexa a extensão de ficheiro .onion aos documentos codificados, PDF's, vídeo, áudio, ficheiros de imagem, bases de dados e outros tipos de ficheiro populares. Não obstante, os autores deste vírus alegam que comprar o software de desencriptação a eles é a única opção de voltar a obter o acesso aos seu ficheiros. Não deve confiar nessas palavras. Deve focar-se na remoção do malware e mais tarde procurar possibilidade de recuperação dos dados.

Vírus ransowmare Cezar. O vírus surgiu a meio de Agosto de 2017 e é também conhecido por vírus ransomware Cesar. O vírus é nomeado pela extensão de ficheiro que adiciona aos ficheiros encriptados, respetivamente .cezar ou .cesar. O vírus sugere que escreva para btc2017@india.com para pedir instruções sobre como recuperar os ficheiros encriptados, portanto funciona como uma versão típica do Dharma.

O objetivo do vírus é forçar a vítima a entrar em contacto com os ciber-criminosos e começar negociações relativas à recuperação dos dados. Os criminosos irão pedir-lhe que pague um enorme resgate em Bitcoins e prometem-lhe que providenciam uma chave de desencriptação depois. Infelizmente os criminosos não podem ser confiados, por isso não recomendamos que se esforce muito a tentar fazer com que restaurem os seus ficheiros. Provavelmente nunca o farão.

Vírus ransomware Arena. O vírus Arena é a última adição à família malware Dharma. O vírus foi detetado pelo investigador de segurança Michael Gillespie a 23 de Agosto de 2017. As novas variantes do ransomware anexam a extensão tradicional – .id-[ID].[endereço de e-mail do criminoso].arena. O vírus coloca então algum texto num ficheiro FICHEIROS ENCRIPTADOS.txt file (conhecido por nota de resgate).

O vírus sugere que contacte os criminosos através do endereço de e-mail sindragosa@bigmir.net, não deixando pistas sobre o preço da chave de desencriptação. Infelizmente, de momento, a única ferramenta que poderá ajudar a restaurar os seus ficheiros é a cópia de segurança dos seus dados. Remova o ransomware Arena antes de tentar ligá-la ao seu computador, caso contrário, o vírus irá encriptar os ficheiros aí armazenados.

Truques usados para a distribuição do ransomware

Ao tentar infetar os sistema com este malware, os programadores do ransomware descrito têm confiado ativamente no phishing. O método mais comum é considerada a entrega do vírus com o auxílio de mensagens de e-mail infetadas. Os golpistas usam campanhas de spam maliciosas para propagar e-mails fraudulentos com o malware anexo e, infelizmente, os utilizadores caem muitas vezes nos seus truques.

Para ajudar a evitar que o seu PC fique infetado com ransomware a partir de e-mail, a LesVirus.fr preparou algumas dicas:

  • Se receber um e-mail de um remetente desconhecido, empresa ou instituição, investigue-o cuidadosamente.
  • Pense se esperar esse e-mail em primeiro lugar, se não faz ideia porque chegou ao seu e-mail: pode estar a ser visado por extorcionistas.
  • Nesse caso, deve manter-se afastado(a) de quaisquer anexos que possam estar adicionados ao e-mail e elimine-o imediatamente. Caso contrário, o Dharma pode introduzir a sua carga útil com algum bilhete de avião falso, bilhete de speeding ou qualquer outros documentos que possam parecer convincentes o suficiente para serem tidos como garantidos.

Remova o vírus Dharma e recupere os ficheiros gratuitamente

Toda a segurança de computador concorda unanimemente que a melhor forma de remover o vírus Dharma ou qualquer outro vírus ransomware do dispositivo infetado é efetuar um scan ao mesmo com uma ferramenta anti-malware profissional. Não obstante, provavelmente lembra-se que este vírus é especialmente bom a esconder-se no computador e pode nem sequer ser detetado pelas ferramentas de segurança.

É por isso que não pode abordar a remoção do Dharma diretamente e tem de concluir alguns passos extra antes de correr um scan ao sistema. Apresentamos esses passos abaixo. Sinta-se à vontade para usá-los e não se esqueça de efetuar um scan ao seu sistema automaticamente depois! Sugerimos que use uma destas ferramentas: Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ou Malwarebytes Anti Malware.

Nós pode ser ligados com qualquer produto que recomendamos no site. Divulgação em nosso acordo de utilização completa. Ao baixar qualquer software Anti-spyware fornecido para remover Vírus ransomware Dharma concorda com a nossa Política de privacidade e acordo de utilização..
faça agora!
Baixe
Reimage (software de remoção) Felicidade
garantida
Baixe
Reimage (software de remoção) Felicidade
garantida
Compatível com Microsoft Windows Compatível com OS X
O que fazer se falhou?
Se falhou na remoção da infeção utilizando o Reimage, submeta uma questão à nossa equipa de apoio e providencie o maior número de detalhes possível.
Reimage é recomendada para desinstalar o Vírus ransomware Dharma. Scanner gratuito permite que você verifique se o seu PC está infectado ou não. Se você precisar remover malwares, você tem que comprar a versão licenciada do Reimage ferramenta remoção de malware.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.

Mais informações sobre esse programa podem ser encontradas em Reimage revisão.
Impressões de em Reimage
Impressões de em Reimage

Guia de remoção manual de virus Dharma:

remover Dharma usando Safe Mode with Networking

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

O ransomware bloqueia o acesso ao software de segurança ou não consegue instalar a sua ferramenta preferia, tem de desativar o vírus reiniciando o dispositivo no Modo de Segurança com Rede. Depois, será capaz de instalar, atualizar e correr o programa de remoção de malware.

  • Passo 1: Reinicie seu computador para Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Safe Mode with Networking da lista Selecionar 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Networking de Startup Settings janela. Selecionar 'Enable Safe Mode with Networking'
  • Passo 2: Removendo o Dharma

    Efetuar login em sua conta e infectados inicie o navegador. Download Reimage ou outras legítimas programa anti-spyware. Atualize-o antes de uma varredura completa do sistema e remover arquivos mal-intencionados que pertencem ao seu ransomware e completa Dharma extracção.

Se o ransomware é bloquear Safe Mode with Networking, tente outro método.

remover Dharma usando System Restore

Reimage é uma ferramenta para detectar o malware.
Você vai precisar para comprar versão completa para remover as infecções.
Mais informações sobre Reimage.

A Restauração de Sistema é outro método para desativar o vírus de forma a efetuar a eliminação automática do ransomware.

  • Passo 1: Reinicie seu computador para Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Clique em Start Shutdown Restart OK.
    2. Quando o computador se torna ativo, começar a carregar F8 várias vezes até que você veja o Advanced Boot Options janela.
    3. Selecionar Command Prompt da lista Selecionar 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Pressione a Power botão no Windows tela de login. Agora, prima e mantenha premido Shift, que está no seu teclado e clique em Restart..
    2. Agora você pode selecionar Troubleshoot Advanced options Startup Settings e finalmente pressione Restart.
    3. quando o computador se torna ativo, selecione Enable Safe Mode with Command Prompt de Startup Settings janela. Selecionar 'Enable Safe Mode with Command Prompt'
  • Passo 2: Restaurar os arquivos e configurações de sistema
    1. Uma vez que a Command Prompt janela mostra, digite cd restore e clique em Enter. Digite 'cd restore' sem aspas e pressione 'Enter'
    2. Agora digite rstrui.exe e pressione Enter novamente.. Digite 'rstrui.exe' sem aspas e pressione 'Enter'
    3. Quando uma nova janela aparece, clique em Next e selecione o ponto de restauração que é antes da infiltração de Dharma. Após fazer isso, clique em Next. Quando 'System Restore' janela mostra, selecionar 'Next' Selecione seu ponto de restauração e clique em 'Next'
    4. Agora clique em Yes para iniciar restauração do sistema. Clique em 'Yes' e iniciar restauração do sistema
    Depois de restaurar o seu sistema para uma data anterior, faça o download e analise o seu computador com Reimage e certifique-se de que Dharma a remoção é realizada com sucesso.

Bonus: Recuperar os seus dados

O guia acima tem como objectivo remover Dharma do seu computador. Para recuperar files encriptados, siga este guia preparado por semvirus.pt especialistas de segurança

Se os seus ficheiros estão encriptados por Dharma, pode usar diversos metodos para os recuperar

Usar o Data Recovery Pro para restaurar ficheiros encriptados pelo ransomware

O Data Recovery Pro é uma opção de software recomendada para aquele que não querem perder tempo a recuperar os dados sozinhos. É uma ferramenta automática que fará o trabalho por si. Portanto, siga os passos abaixo, sente-se e aguarde os resultados.

  • Download Data Recovery Pro (https://semvirus.pt/download/data-recovery-pro-setup.exe);
  • Siga os passos do setup de Data Recovery e instale este programa no seu computador
  • Execute e verifique o seu computador para encontrar os ficheiros encriptadas por Dharma ransomware;
  • Repare-os

Usara função Windows Previous Versions para recuperar os ficheiros encriptados pelo Dharma

A função Windows Previous Versions é outra opção que pode tentar de forma a recuperar os seus dados. Tenha em mente, porém, que esta técnica requer que a função Restauração de Sistema seja permitida. Se o foi antes do ataque do vírus, tente a sua hipótese de recuperação dos dados usando as instruções abaixo.

  • Encontre o ficheiro encriptado que precisa e clique com o butão direito do rato para o reparar
  • Selecione “Properties” e va para o separador “Previous versions”
  • Aqui, verifique as copias disponiveis do ficheiro em “Folder versions”. Deve selecionar a versao que quer reparar e clique “Restore”.

Confiar no ShadowExplorer para recuperar os seus ficheiros

Por último mas não menos importante, o ShadowExplorer pode também ser usado para recuperação dos dados. O ShadowExplorer foca-se particularmente em extrair os dados da Cópias de Volume Sombra que são normalmente mantidas no computador. Se o vírus não as eliminou, obviamente. No caso de toda a informação necessária estar intacta, siga os passos abaixo para proceder com a recuperação dos dados.

  • Download Shadow Explorer (http://shadowexplorer.com/);
  • Siga as intruções de intalação de Shadow Explorer e instale esta aplicação no seu computador
  • Execute o programa e explore o menu no canto superior esquerdo ate encontrar o seu disco com os dados encriptados. Verifique que pastas estão lá.
  • Clique no butão direito do rato nas pastas que quer recuperar e selecione “Export”. Também pode selecionar onde quer guardar.

IMPORTANTE. As mais recentes opções de desencriptação do Dharma

Como já mencionámos, alguém vazou muitas chaves de desencriptação do Dharma online e o Kaspersky já atualizou com sucesso o desencriptador Rakhni com estas chaves. De momento, sabe-se que as chaves vazadas pertenciam à versão do vírus que adicionou as extensões de ficheiro .dharma. Deve definitivamente tentar usar o desencriptador apresentando pelo Kaspersky Lab. Pode descarregá-lo aqui.

No caso do desencriptador falhar na desencriptação dos seus ficheiros: A nossa equipa recebeu recentemente uma mensagem de uma pessoa que dizia que um dos seus clientes foi infetado pela versão ransomware .[oron@india.com].dharma. Surpreendentemente, o visitante do nosso site relatou que conseguiu restaurar dos arquivos dos dados encriptados extraindo-os com o 7-Zip. Sugerimos que tente este método se ainda não o fez. Pode encontrar o comentário original do visitante na secção de comentários abaixo.

Por último, você deve sempre pensar sobre a protecção de crypto-ransomwares. A fim de proteger o seu computador a partir de Dharma e outros ransomwares, use um anti-spyware respeitável, como Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus ou Malwarebytes Anti Malware

Sobre o autor

Jake Doevan
Jake Doevan - A vida é muito curta para desperdiçar o seu tempo com vírus

Se este guia de remoção livre ajudou você e você está satisfeito com o nosso serviço, por favor, considere fazer uma doação para manter este serviço vivo. Mesmo uma quantidade menor será apreciada.

Fonte: https://www.2-spyware.com/remove-dharma-ransomware-virus.html

Guias de remoção em outras línguas