最近又另一种Dharma勒病毒件,这次使用的是.vanss文件扩展名,它被添加到加密文件中。这意味着它会加密您计算机上的文件,使其处于阻止您打开它们的状态,直到您支付赎金为止。该病毒还包括两个赎金票据。这些笔记是FILES ENCRYPTED.txt和Info.hta,其主要目的是说明受害者如何支付赎金以获取他们的文件。
| 名称 | .vanss Dharma病毒 |
| 类型 | 勒索病毒,Cryptovirus |
| 简短的介绍 | Dharma勒索软件的变种。旨在加密受害者的comptuers上的文件,然后敲诈他们以获得BitCoin中的赎金支付。 |
| 症状 | Info.hta和FILES ENCRYPTED.txt开始出现在您的PC上。这些文件使用文件扩展名加密 - id- {random ID}.[ [email protected]].vanss |
| 分配方法 | 垃圾邮件,电子邮件附件,可执行文件 |
Dharma .vanss勒索软件 - ***方法
为了广泛传播并有效地感染计算机,传播这种Dharma勒索病毒变种的人可能会使用不同的狡猾策略。其中之一是通过感染文件传播病毒,该文件作为垃圾邮件电子邮件的扩展名添加。这类文件通常构成合法文件,如发票,收据或银行对账单。电子邮件通常用于模仿来自大公司的合法邮件,如PayPal,eBay,亚马逊,LinkedIn,DHL,FedEx甚至银行。除了通过电子邮件,恶意文件也可以以不同的可解释的形式上传到恶作剧或受损的WordPress网站上,例如:
游戏或程序补丁或裂缝。
钥匙发电机。
许可激活器。
安装程序。
便携版程序。
除此之外,已删除的文件也可能是自解压存档或JavaScript文件,可以在下载嵌入恶意URL的脚本中上载。这意味着您可能通过打开导致自动下载和安装感染文件的Web链接而感染Dharma勒索软件。
Dharma .vanss勒索病毒 - 分析
Dharma's .vanss变体的主要恶意文件具有以下技术规范:
→MD5:e86893b92eca6e8dfbcfb9bbc08ee973
SHA-1:acaf1392ea344a074cd4dd47faa6a7e1530747f
类型:Win32 EXE
大小:4.72 MB
一旦留在受害机器上,Dharma .vanss病毒开始与Windows中的以下系统文件进行交互:
→KERNEL32.dll
USER32.dll
WTSAPI32.dll
Dharma的.vanss变体使用这些.dll Windows文件导入以下函数:
•LocalFree
•GetProcessAffinityMask
•LocalAlloc
•GetModuleHandleA
•GetModuleFileNameW
•VirtualQuery
•FreeLibrary
•ExitProcess
•Sleep
•SetThreadAffinityMask
•SetProcessAffinityMask
•GetProcAddress
•LoadLibraryA
•GetProcessWindowStation
•GetUserObjectInformationW
•WTSSendMessageW
然后,Dharma勒索软件可以与System32中的以下Windows文件进行交互:
→ C:\WINDOWS\system32\winime32.dll
C:\WINDOWS\system32\ws2_32.dll
C:\WINDOWS\system32\ws2help.dll
C:\WINDOWS\system32\psapi.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\lpk.dll
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\system32\shell32.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\MSCTFIME.IME
除此之外,Dharma ransomwar e还修改了Windows中的多个注册表子键:
→ \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\996E.exe
\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option
\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\TransparentEnabled
\REGISTRY\USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\oleaut32.dll
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\version.dll
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\comctl32.dll
\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHELL32.dll
在.vanss Dharma勒索软件的活动中,还要删除受害PC上名为Info.hta的赎金票据。打开时,注释如下所示:
Dharma .vanss勒索软件 - 加密过程
与之前版本的Dharma勒索软件类似,这个版本不会欺骗传统,并添加了各种不同的功能,可以跳过加密关键Windows目录中的文件,例如:
%System%
%System32%
%Windows%
%ProgramData%
%AppData%
这样做的主要目的是让Windows保持活动状态,以便受害者可以使用PC支付赎金,我们强烈建议不要这样做。
然后,Dharma勒索软件可以根据文件扩展名查找它们要加密的文件。最有针对性的文件自然是最常用的文件,例如:
图片。
影片。
音频文件。
档案。
虚拟驱动器。
备份。
然后,病毒可能会使用AES加密算法来加密您的文件。它可以创建文件的加密副本并删除原始文件或直接***文件本身。在使用您的文件完成Dhavan 勒索软件的.vanss版本后,恶意软件会生成非对称解密密钥,该密钥也会被加密,以便只有骗子可以使用它来恢复您的文件。文件名也被修改,并从中删除了文件图标。
由.vanss Dharma勒索软件加密的文件如下所示:
删除Dharma Ransomware并尝试恢复.vanss文件
在开始Dharma的任何删除过程之前,我们建议您备份文件,以防万一。
1.以安全模式启动PC以隔离和删除.vanss Dharma病毒文件和对象
对于Windows XP,Vista和7系统:
第1步:删除所有CD和DVD,然后从“ 开始 ”菜单重新启动PC
第2步:
- 对于具有单个操作系统的PC:在计算机重新启动期间出现第一个引导屏幕后,反复按“ F8 ”。如果Windows徽标出现在屏幕上,则必须再次重复相同的任务。
- 对于具有多个操作系统的PC:箭头键可帮助您选择您希望以安全模式启动的操作系统。按照单个操作系统所述,按“ F8 ”。
第3步:出现“ 高级启动选项 ”屏幕时,使用箭头键选择所需的安全模式选项。在进行选择时,按“ Enter ”
第4步:使用管理员帐户登录计算机
第5步:修复PC上恶意软件和PUP创建的注册表项。
2.在您的PC上查找.vanss Dharma Virus创建的文件
第1步:单击“ 开始菜单”图标(通常在左下角),然后选择“ 搜索”首选项。
第2步:出现搜索窗口后,从搜索助手框中选择更多高级选项。另一种方法是单击“ 所有文件和文件夹”。
第3步:之后,键入要查找的文件的名称,然后单击“搜索”按钮。这可能需要一些时间才能显示结果。如果您找到了恶意文件,可以通过右键单击来复制或打开其位置并删除它。
现在,您应该能够在Windows上发现任何文件,只要它在您的硬盘驱动器上并且不通过特殊软件隐藏。
3.使用高级防恶意杀毒软件工具扫描恶意软件和恶意程序
4.尝试恢复.vanss Dharma Virus加密的文件
勒索软件感染和.vanss Dharma病毒旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法。请记住,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区。
方法2:尝试杀毒软件的解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
解密文件的另一种方法是使用网络嗅探器获取加密密钥,同时在系统上加密文件。网络嗅探器是监视通过网络传输的数据的程序和/或设备,例如其互联网流量和互联网数据包。如果在***发生之前设置了嗅探器,则可能会获得有关解密密钥的信息。
GANDCRAB v5.0.1 勒索病毒删除,数据恢复。参照链接
GANDCRAB v5.0.2 勒索病毒删除,数据恢复。参照链接
GANDCRAB v5.0.3 勒索病毒删除,数据恢复。参照链接
GANDCRAB v5.0.4 勒索病毒删除,数据恢复。参照链接
关注服务号,交流更多解密文件方案和恢复方案:
