Quem planejou a linhagem de ransomware Dharma / CrySiS parece ser proficiente em criptografia, porque não há como recuperar a chave de decodificação privada, a menos que a vítima opte pelo acordo de resgate com os criminosos. Com a campanha de distribuição orquestrada profissionalmente, as características dessa epidemia são cada vez mais desconcertantes. A versão dessa infecção que concatena a extensão .bip com arquivos codificados não é a mais recente, tendo ocorrido por vários meses até o final de setembro de 2018, mas é de longe a mais difundida. Depois de concluir a mutilação baseada em criptografia dos arquivos pessoais de uma pessoa, ela anexa nomes de arquivo com uma string no seguinte formato: id- {8 caracteres alfanuméricos}. [Endereço de e-mail do invasor] .bip.
Como resultado, o Trojan de resgate distorce o nome de um arquivo de exemplo 1.png transformando-o em algo como: 1.png.id-FECBF140. [[email protected]] .bip. A presença de um endereço de e-mail no nome do arquivo é uma pista inequívoca em relação à recuperação de dados – a vítima é solicitada a entrar em contato com o adversário para obter instruções. By the way, há aparentemente várias sub-ondas diferentes da versão do arquivo ransomware .bip, cada um com sua própria seqüência de e-mail. Além do mencionado acima, aqui está uma lista completa de endereços de e-mail de contato relatados por aqueles infectados até hoje: [email protected], [email protected], [email protected], [email protected], eterniity @ qq .com, [email protected], [email protected], [email protected], [email protected] e [email protected]. Novamente, essa é a parte entre parênteses imediatamente anterior à extensão .bip e variando para diferentes campanhas.
O fato de que a variante do arquivo .bip do Dharma está sendo distribuída por mais de um grupo de cibercriminosos sugere que o modelo RaaS (Ransomware as a Service) é o caso aqui. Isso significa que alguém realmente escreveu o código e criou o vírus de chantagem chave na mão, enquanto uma dúzia de partes interessadas está “alugando” a infecção e espalhando-a por conta própria. Apesar da atividade relativamente independente desses malfeitores, a maioria das instâncias de contaminação do Dharma se resume ao mesmo vetor de abuso de serviços de área de trabalho remota. Em outras palavras, o código incorreto é executado manualmente em computadores Windows, invadindo-os. Os invasores utilizam ferramentas especialmente criadas para vasculhar a Internet em hosts com conexões RDP desprotegidas ou usando autenticação fraca.
O endereço de e-mail incorporado nos nomes dos arquivos não é a única dica no método para restauração de dados. O ransomware .bip também libera notas de resgate em dois formatos. Um deles é um arquivo chamado Info.hta, que aparece automaticamente após a criptografia de dados maliciosos ter sido concluída. Seu título coincide com o e-mail de contato, e os conteúdos pedem que o usuário entre em contato com os bandidos para obter as etapas detalhadas. A outra versão do manual de descriptografia é denominada FILES ENCRYPTED.txt. Ele acaba na área de trabalho e contém as mesmas recomendações que o HTA how-to. A recuperação sempre se resume a enviar uma quantidade específica de Bitcoin para os atacantes. O tamanho do resgate pode chegar a 0,5 BTC, o que é realmente uma fortuna nos dias de hoje. Nestas circunstâncias, qualquer mecanismo alternativo de recuperação de dados é útil. Continue lendo este artigo para aprender como se livrar do ransomware Dharma .bip e descobrir se seus dados podem ser restaurados sem pagar o resgate.
Remoção automática de arquivos .bip ransomware
Os benefícios de usar a suíte de segurança automática para se livrar desta infecção são óbvias: Ele varre todo o sistema e detecta todos os fragmentos potenciais do vírus, então você está a poucos cliques do mouse longe de uma correção completa.
- Baixar e instalar recomendado malware Security Suite
- Selecione Iniciar o recurso de digitalização do computador e aguarde até que o utilitário apareça com o relatório de varredura. Prossiga clicando no botão Fix ameaças , que irá desencadear um processo de remoção completa para resolver todas as questões de malware comprometer o seu computador e sua privacidade.
Restaurar arquivos .bip bloqueados pelo vírus Dharma / CrySiS
O ransomware .bip representa uma categoria exclusiva de software mal-intencionado cuja superfície de ataque ultrapassa o sistema operacional e seus componentes, e é por isso que a remoção do vírus em si é uma parte da correção apenas. Como foi mencionado, ele criptografa as informações pessoais de uma pessoa, de modo que a próxima fase da correção geral pressupõe restabelecer os arquivos que permanecerão inacessíveis.
-
Lançamento de software de recuperação de dados
Similarmente ao resto de suas infecções, o vírus do arquivo .bip provavelmente segue um algoritmo operacional, onde apaga as versões originais dos arquivos da vítima e, na verdade, criptografa suas cópias. Esta peculiaridade pode tornar o seu dia, porque aplicações focadas em análise forense como Data Recovery Pro são capazes de restaurar as informações que foram removidas. Como o vírus evolui ainda mais, o seu modus operandi pode ser alterada-enquanto isso, vá em frente e tente isso.
-
Aproveite o serviço de cópias de sombra de volume
Essa técnica é baseada no uso da funcionalidade de backup nativo que é fornecida com o sistema operacional Windows. Também conhecido como serviço de snapshot de volume (VSS), esse recurso faz backups regulares dos arquivos do usuário e mantém suas versões mais recentes, desde que a restauração do sistema esteja em. O Dharma não foi encontrado para afetar estas cópias, portanto, o vetor de restauração em questão é fortemente recomendado. As duas subseções abaixo destacam o fluxo de trabalho automático e manual.
- a) Usar o Shadow Explorer
Explorador de sombra é um applet que fornece uma maneira fácil de recuperar versões anteriores de arquivos e pastas. Seus profissionais incluem uma interface intuitiva em que a hierarquia de arquivos inteira do computador é exibida dentro de uma janela. Basta escolher o volume do disco rígido, selecione o objeto ou diretório a ser restaurado, clique com o botão direito sobre ele e escolha exportar. Siga as instruções do aplicativo para obter o trabalho feito.
- b) usar propriedades do arquivo
Essencialmente, o que a ferramenta Shadow Explorer mencionada faz é automatizar o processo que pode ser executado manualmente através da caixa de diálogo Propriedades para arquivos individuais. Essa abordagem em particular é mais complicada, mas tão eficaz quanto sua contraparte baseada em software, portanto, você pode continuar clicando com o botão direito do mouse em um arquivo .bip arbitrário, que foi criptografado pelo Dharma ransomware e selecionando Propriedades no menu de contexto. A aba chamada Versões Anteriores é a próxima coisa a clicar – exibe as versões disponíveis do arquivo por data de criação do instantâneo. Escolha a cópia mais recente e conclua a recuperação seguindo os prompts.
-
Backups de dados de trabalho maravilhas
Ransomware como Dharma / CrySiS não é tão poderoso e destrutivo no caso de você executar backups regulares de arquivos para a nuvem ou mídia de dados externa. O vírus em si pode ser completamente removido em questão de minutos, e as informações distorcidas podem então ser tão facilmente recuperado a partir do backup. Felizmente, esta é uma tendência crescente, assim que os trojans do Ransom são esperançosamente indo tornar-se menos subversivos em um futuro próximo.
Verificar o rigor da remoção
Tendo realizado as instruções acima, adicione um toque final ao procedimento de segurança executando uma varredura de computador adicional para verificar a atividade de malware residual
