【转载】.btc勒索病毒删除+还原文件(Dharma家族新成员)

新变种中检测到Dharma勒索病毒,这次将.btc文件扩展名附加到由其加密的文件中。勒索病毒类似于Dharma的其他变体,旨在利用多种加密模式的组合,以便使受害者计算机上的文件不再能够打开并显示如下:Filename.id {ID-here}.[ btc@fros.cc].btc。Dharma .btc病毒还留下了一个名为FILES ENCRYPTED.txt的赎金记录文件它包含有关如何支付高额赎金的详细说明,以便将您的文件恢复到正常的工作步骤

名称: Dharma .btc文件病毒
类型: 勒索病毒,Cryptovirus
简短的介绍: 新版CrySyS/Dharma勒索软件系列。旨在加密受感染计算机上的文件并勒索受害者以支付赎金。
症状: 文件具有.btc文件扩展名。一个名为FILES ENCRYPTED.txt的赎金票据文件。
分配方法: 垃圾邮件,电子邮件附件,可执行文件
检测工具: 看看您的系统是否受到Dharma .btc文件病毒的影响
.btc文件病毒 - 它是如何感染的
这个版本的Dharma勒索软件可以通过多种方式运行。其中一种方法是拥有各种文件类型,这些文件类型实际上是恶意的,但伪装成通过电子邮件发送给受害者的合法文件。最常被模仿的文件类型如下:

  • 来自信誉良好的网站的发票,如PayPal,eBay等。
  • 来自似乎是受害者银行的文件。
  • 在线订单确认单。
  • 收货购买。
  • 其他。

电子邮件本身往往很简短,但令人信服并主要关注有问题的电子邮件附件

但是电子邮件并不是.btc Dharma病毒感染的唯一来源。恶意软件作者可能会使用受感染的网站将感染文件上传为可执行类型的文件,该文件可作为合法程序提供,可由被误导的用户下载,用户在线搜索。这些类型的程序通常是破解,补丁,免费软件应用程序的便携版本,以及这些类型的其他迷你应用程序

Dharma .btc Ransomware - 恶意活动
当您的计算机被.btc Dharma勒索软件病毒感染时,会在您不知情的情况下进行许多不同的活动,其中可能包括:

  • 在PC上创建互斥锁。
  • 在Windows注册表编辑器中创建值条目。
  • 删除备份的数据库和卷影副本。
  • 更改设置,以便可以毫无问题地更改壁纸,并且病毒具有管理权限。
  • 触摸Windows的系统文件,这可能导致病毒获得对Windows任务的更多权限。

Dharma勒索软件的主要恶意负载有以下参数:

SHA-256 0b928b308f9cb448d88ea0c4e50dc668baaecce80a3d5d2424c1092bb70e9d7e 
文件大小92.5 KB

在您的计算机上丢弃.btc Dharma病毒的有效负载后,勒索软件可能会创建和删除模块文件,这会导致其恶意活动。这些文件可能位于以下Windows目录中:

%Roaming%
%Windows%
%AppData%
%Local%
%Temp%
此外,Dharma勒索软件执行的恶意操作是在Windows的Run和RunOnce注册表子键中创建注册表值。这些子键位于以下Windows键中:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

当病毒想要设置在系统引导时自动运行的程序时,将使用这些子键。这些程序通常是加密文件的病毒的恶意文件,这可能是.btc Dharma勒索软件的情况。

除此之外,Dharma .btc病毒还可以使用以下命令删除受感染计算机上的卷影卷副本:

bcdedit / set bootstatuspolicy ignoreallfailures 
bcdedit / set recoveryenabled No
bcdedit / set {default} bootstatuspolicy ignoreallfailures 
bcdedit / set {default} recoveryenabled no 
vssadmin delete shadows / for = {volume} / oldest / all / shadow = {Shadow的ID} /Quiet

Dharma .btcRansomware - 加密过程
在加密受感染计算机上的文件之前,Dharma勒索软件首先扫描要加密的文件,这些文件被认为是最常用的文件。这些文件可能是以下文件扩展名的文件:

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。

在扫描要加密的文件时,Dharma勒索软件的.btc变体非常聪明,不加密以下Windows目录中包含的文件:

%System32%
%Temp%
%System%
%Windows%
%Local%
%Program Files%
要删除Dharma .btc文件病毒,请按照下列步骤操作:
 

1.以安全模式启动PC以隔离和删除Dharma .btc文件病毒文件和对象
第1步:打开“ 开始”菜单。

第2步:单击电源按钮,在按住“Shift”的同时单击“ 重新启动”。

第3步:重启后,将出现带有选项的蓝色菜单。从他们你应该选择疑难解答。

第4步:您将看到“ 疑难解答”菜单。从此菜单中选择“ 高级选项”。

第5步:出现“ 高级选项”菜单后,单击“ 启动设置”。

第6步:从Startup Settings菜单中,单击Restart。

第7步:重启后会出现一个菜单。您可以通过按相应的数字选择三个安全模式选项中的任何一个,机器将重新启动。

 

 

第8步:修复PC上恶意软件和PUP创建的注册表项。

2.在PC上查找由Dharma .btc Files Virus创建的文件
第1步:在键盘上按Windows + R并在“ 运行”文本框中编写explorer.exe,然后单击“ 确定”按钮。

第2步:从快速访问栏中单击您的PC。这通常是带有显示器的图标,其名称可以是“我的电脑”,“我的电脑”或“此电脑”或您命名的任何名称。

第3步:导航到PC屏幕右上角的搜索框,然后键入“病毒名称”,然后键入文件扩展名。如果您正在寻找恶意可执行文件,例如可能是“病毒名称.exe”。完成此操作后,请留出空格并键入您认为恶意软件已创建的文件名。以下是找到您的文件时的显示方式:

 

 

 

 
3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序并备份您的数据
4.尝试恢复由Dharma .btc Files Virus加密的文件
勒索软件感染和Dharma .btc文件病毒旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。

方法1:使用数据恢复软件扫描驱动器的扇区。

方法2:尝试杀毒软件的解密器。

方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。

解密文件的另一种方法是使用网络嗅探器获取加密密钥,同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备,例如其互联网流量和互联网数据包。如果在攻击发生之前设置了嗅探器,则可能会获得有关解密密钥的信息。

.Brrr文件后缀勒索病毒数据恢复可以参照链接 新的Dharma家族成员

原文:https://blog.csdn.net/qq_38454442/article/details/83217733

posted @ 2018-11-06 11:29  李佳鹏-前端  阅读(3174)  评论(0编辑  收藏  举报