本文旨在向您解释如何删除最新版本的Dharma勒索病毒,并解释如何恢复尽可能多的加密文件,其中包含.bip文件扩展名。
我们遇到了多个受害者关于臭名昭着的Dharma勒索病毒新变种的报道。恶意软件嵌入了.bip文件扩展名,其主要目标是进行大量恶意活动,从而使用多种加密算法对文件进行加密。这些密码旨在使您的文件不再能够打开,看起来如下所示:Filename.id {ID-here}。[ [email protected] ] .bip。该恶意软件还留下了一个名为FILES ENCRYPTED.txt的赎金票据文件,如果您的计算机已成为.bip版本的Dharma的受害者,我们建议您阅读本文,尝试恢复加密文件。
| 名称 | .bip Dharma 病毒 |
| 类型 | 文件加密勒索软件 |
| 简短的介绍 | Dharma / CrySiS勒索软件病毒的新版本。对受感染机器的数据使用复杂的加密模式,以勒索受害者在BitCoin中为其加密文件付款。 |
| 症状 | 加密文档,图像,视频和其他重要文件,并添加.bip文件后缀加上唯一ID和电子邮件以支付赎金。 |
| 入侵方法 | 垃圾邮件,电子邮件附件,可执行文件 |
.bip Dharma Ransomware - 信息介绍
.bip文件病毒 - 2018年6月更新
该的BIP文件的病毒已被安全研究人员检测到自六月初更旺传播,2018年的勒索病毒垃圾邮件发送者使用相同的技术-恶意的电子邮件附件,它通过恶意宏感染的用户。导致成功感染的活动链将在下面显示的图形中执行:
还有一个新的Dharma勒索病毒变种,使用.combo文件扩展名添加到加密文件中。勒索软件病毒基于.cezar Dharma 勒索病毒系列
.bip文件病毒 - 它是如何感染的
为了有效地感染受害者的计算机,.bip文件病毒使用了一种经常使用的分发方式 - 通过自动发送给受害者的电子邮件,即垃圾邮件。这些类型的消息旨在说服受害者通过信任其内容来打开恶意附件,因为它是某种合法文档,例如:
- 购买发票。
- 银行对账单文件。
- 收到购买。
- 您可能会或可能不会执行的订单。
- 其他重要文件。
发送的电子邮件带有Dharma勒索病毒的感染文件,使用.bip文件扩展名,就好像它们来自公司员工,以说服受害者打开它们,除此之外,除了通过垃圾邮件来源的电子邮件,最新的Dharma ransomwar e迭代也可以通过其他方式传播,例如声称是合法的软件,密钥,补丁或游戏和其他软件的修复设置许可证激活文件
Dharma .bip文件病毒 - 恶意活动
当您的计算机上发生此勒索软件感染时,其初始操作是进行准备类型的活动,例如:
- 创建互斥锁。
- 与Windows注册表编辑器交互。
- 删除系统备份和卷影副本。
- 更改壁纸或自动安排赎金记录文件在桌面上打开。
- 它可能会接触某些Windows密钥文件以获取管理权限。
据报道,Dhab勒索软件的.bip变种的主要恶意病毒是可执行类型的文件,具有以下名称和签名:
SHA-256:044d3d36c7e7377e29da769397b3e173b21acc2a07a676c377d0335c36e0e01f
名称:detrimentalnue.exe
文件大小:431 KB
来源:VirusTotal
Dharma勒索的版本的BIP已经放弃了它的受害者的计算机上感染的文件,它可能会降低其有效载荷文件到Windows的以下目录:
这样做之后,的BIP迭代中的达摩病毒也可能开始与Windows注册表编辑器进行交互。恶意软件可能会在Windows的Run和RunOnce注册表子项中添加Windows注册表项,并具有以下位置:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \
这些注册表子键主要是用于在Windows启动时运行程序时使用的子键,而Dharma勒索软件使用它们设置自己的设置来运行恶意文件及其他模块,自动在受感染的PC上执行恶意活动当你启动Windows时。其中一项活动是删除Windows影子卷副本,这是通过自动执行的脚本完成的,并在Windows命令提示符下运行以下命令:
bcdedit / set bootstatuspolicy ignoreallfailures
bcdedit / set recoveryenabled No
bcdedit / set {default} bootstatuspolicy ignoreallfailures
bcdedit / set {default} recoveryenabled no
vssadmin delete shadows / for = {volume} / oldest / all / shadow = {Shadow ID} /quiet
勒索病毒旨在执行多种不同类型的活动,以确保受害者知道它的存在。这包括在受害者计算机的文件中删除它的赎金记录,如下所示:
- %Local%
- %Roaming%
- %AppData%
- %Temp%
- %Windows%
Dharma .bip勒索软件 - 加密过程
与其他Dharma 变体一样,此迭代使用AES(高级加密标准)密码,该密码被归类为Suite.B加密算法,并且也被NSA用于加密仅眼睛类型的文件。此算法会更改计算机文件上的数据,以便它们不再能够打开。然后,此活动导致Dharma勒索软件将您的计算机上的文件看起来好像已损坏,并且将来无法通过任何形式的软件打开它们。
Dharma病毒在加密文件之前执行扫描,因为恶意软件会查找包含最常用文件扩展名的文件类型,例如:
“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。
Dharma的.bip文件变体很聪明,不加密那些文件夹中的文件:
- %Windows%
- %System32%
- %System%
- %Local%
- %Temp%
- %Program Files%
这是一种预防措施,可以在您无法使用重要文档时保持计算机的完整性。由Dharma勒索软件加密的文件开始显示如下图所示:
加密后,无法再通过任何程序打开.bip文件,并且其代码结构已被AES加密密码中的数据替换。该密码生成非对称解密密钥,该密钥只能由网络犯罪分子用于设计用于解密这些文件的特殊类型的软件中。因此,获取所有文件的唯一机会是骗子向公众发布解密密钥,恶意软件研究人员破解病毒并找到主解密密钥或支付赎金。但是,不要绝望,还有其他方法可以尝试和恢复.bip加密文件,了解如何删除.bip变种Dharma勒索软件并将你的文件恢复。
删除Dharma Ransomware并恢复.bip加密文件
删除Dharma勒索病毒是最好的方法,如果您有时间和经验来删除恶意病毒,手动删除Dharma勒索软件。如果没有,我们会建议大多数专家建议用户 - 下载高级反恶意杀毒软件。这种类型的软件将有效地确保摆脱与.bip文件版本的Dharma勒索病毒相关联的所有恶意文件,并自动保护您的PC免受未来感染。
如果要恢复使用.bip文件扩展名加密的文件,请不要绝望,因为您可以尝试多种替代方法,并创建它们是为了帮助您恢复尽可能多的文件即使您没有100%的机会可以恢复所有文件。
要删除.bip Dharma Virus,请按以下步骤操作:
1.以安全模式启动PC以隔离和删除.bip Dharma病毒文件和对象
第1步:打开“ 开始”菜单。
第2步:单击电源按钮(对于Windows 8,它是“关闭”按钮旁边的小箭头),在按住“Shift”的同时单击“ 重新启动”。
第3步:重启后,将出现带有选项的蓝色菜单。从他们你应该选择疑难解答。
第4步:您将看到“ 疑难解答”菜单。从此菜单中选择“ 高级选项”
第5步:出现“ 高级选项”菜单后,单击“ 启动设置”。
第6步:从Startup Settings菜单中,单击Restart。
第7步:重启后会出现一个菜单。您可以通过按相应的数字选择三个安全模式选项中的任何一个,机器将重新启动。
第8步:修复PC上恶意软件和PUP创建的注册表项。
2.在您的PC上查找.bip Dharma Virus创建的文件
第1步:在键盘上按 + R并在“ 运行”文本框中编写explorer.exe,然后单击“ 确定”按钮。
第2步:从快速访问栏中单击您的PC。这通常是带有显示器的图标,其名称可以是“我的电脑”,“我的电脑”或“此电脑”或您命名的任何名称。
第3步:导航到PC屏幕右上角的搜索框,然后键入“fileextension:”,然后键入文件扩展名。如果您正在寻找恶意可执行文件,例如可能是“fileextension:exe”。完成此操作后,请留出空格并键入您认为恶意软件已创建的文件名。以下是找到您的文件时的显示方式:
3.使用高级杀毒软件扫描恶意软件和恶意程序
扫描您的PC并使用高级防恶意杀毒软件工具删除.bip Dharma病毒并备份您的数据
4.尝试恢复.bip Dharma Virus加密的文件
勒索病毒感染和.bip Dharma Virus旨在使用加密算法加密您的文件,这可能很难解密。这就是为什么我们建议了几种可以帮助您绕过直接解密并尝试恢复文件的替代方法,这些方法可能不是100%有效,但也可能在不同情况下帮助您一点或多少。
方法1:使用数据恢复软件扫描驱动器的扇区并恢复文件。
方法2:尝试使用解密器。
方法3:在密码病毒通过网络通过嗅探工具发送解密密钥时查找解密密钥。
关注服务号,交流更多解密文件方案和恢复方案:
