تمام آن چیزی که باید در مورد باج افزار Dharma بدانید

تمام آن چیزی که باید در مورد باج افزار Dharma بدانید

تمام آن چیزی که باید در مورد باج افزار Dharma بدانید

در چند وقت اخیر ورژن جدیدی از باج افزار Crysis با نام Dharma در حال انتشار می باشد.

ما گزارش هایی از قربانیان این باج افزار بنام Dharma ransomware دریافت کرده ایم. این نوع، دارای برنامه extension arrow می باشد و هدف اصلی آن انجام فعالیت های مختلف رمزگذاری فایل با استفاده از یک ترکیب قوی از الگوریتم های رمزنگاری است.

پس از آلوده شدن پیغامی برای شما مبنی بر تماس با شخص آلوده کننده می آید. اگر کامپیوتر شما تبدیل به قربانی نوع arrow Dharma Ransomware شده باشد، توصیه می کنیم این مقاله را بخوانید.

این مقاله به شما نشان می دهد که چگونه می توانید این ransomware را از رایانه خود حذف کنید و چگونه می توانید سعی کنید فایل های رمزگذاری شده خود را بدون نیاز به پرداخت هزینه بازیابی کنید.

خلاصه تهدید:

نام : .arrow Dharma Virus

نوع : باج افزار رمزگذاری فایل

توضیح کوتاه : نوع جدیدی از ویروسهای Dharma / CrySiS ransomware. با استفاده از حالت رمزنگاری پیچیده بر روی داده های سیستم های آلوده به منظور مجبور کردن قربانیان برای پرداخت BitCoin برای فایل های رمزگذاری شده خود.

علائم : اسناد، تصاویر، فیلم ها و سایر فایل های مهم را رمزگذاری می کند و پسوند file arrow را اضافه می کند و یک شناسه منحصر به فرد و ایمیل برای پرداخت هزینه ی بازگردانی اطلاعات ارائه می کند.

روش توزیع : ایمیل های اسپم، ضمیمه های ایمیل، فایل های اجرایی

این باج افزار چگونه کامپیوتر را آلوده می کند؟

فرآیند آلوده کردن این باج افزار، از طریق ایمیل های اسپم شده می باشد. چنین پیام هایی با هدف مجاب کردن قربانیان برای باز کردن یک پیغام الکترونیکی مخرب، با القای اینکه یک فایل قانونی است، ارسال می شوند. پیوست ارسال شده در ایمیل ها، حامل فایل های آلوده ای از باج افزار Dharma .arrow می باشند و ممکن است اینطور به نظر برسند که از شما اسناد مهمی مشابه موارد زیر بخواهند :

صورت حساب ها

بیانیه های بانکی

دریافت سفارشاتی که ممکن است وجود نداشته باشند

فایل های مشکوک مهم دیگر

علاوه بر این، ایمیل هایی که فایل های آلوده از نوع باج افزار Dharma حمل می کنند، از طرف کارکنان واقعی شرکت های بزرگ به منظور افزایش اعتماد قربانیان، ارسال می گردند. به عنوان مثال :

1


علاوه بر این، باج افزار Dharma با استفاده از پیام های اسپم ایمیل، آخرین نسخه از این باج افزار را از طریق روش های مختلف می تواند گسترش دهد، مانند تظاهر به نصب قانونی نرم افزار، وصله هایی برای بازی ها و مجوز فعال سازی نرم افزارهای دیگر

اگر شما به دنبال دانلود نرم افزارهای آنلاین رایگان هستید، توصیه می کنیم همیشه قبل از استفاده، از سرویس های آنلاین مثل VirusTotal آنها را از نظر وجود بد افزار یا ویروس، چک کنید. اگر ایمیل هایی را که مشکوک هستند را دانلود کردید و بصورت rar یا zip بودند، توصیه می کنیم قبل از باز کردن فایل ها، از طریق اسکنرهای آنلاین مثل سایت ZipeZip آنها را اسکن کنید.

فایل های ویروسی Dharma .arrow – فعالیت مخرب

وقتی آلودگی از طریق باج افزار arrow از قبل در رایانه های قربانیان اتفاق افتاده است، اولین فعالیت هایی که ویروس انجام می دهد، به شرح زیر است :

همچنین ممکن روی برخی از پوشه های ویندوزی هم تاثیر بگذارند :

علاوه بر تاثیراتی که در بالا ذکر شد، باعث تغییر کلید های رجیستری ویندوز Run و RunOnce برای اضافه کردن sub-keys در آنها، که بعد از هر ورود بطور خودکار اجرا می شوند، می شود. مکان های این فایل ها در ویندوز :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

این زیر کلید ها مسئول اجرای برنامه ها در بوت ویندوز هستند بنابراین Dharma ممکن است برنامه هایی را اجرا کند که کپی های shadow را حذف کنند. پشتبان های سایه تنها راه برای بازیابی فایل ها از طریق روش بازیابی ویندوز می باشند بنابراین نرم افزار های مخرب اطمینان حاصل می کنند که دستورات زیر را بعنوان مدیر اجرا کنند تا هرگونه شانس بازیابی فایل های شما را از بین ببرند :

bcdedit /set bootstatuspolicy ignoreallfailures
bcdedit /set recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled No
vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

پس از انجام این عملیات ها، باج افزار Dharma به رمزگذاری فایل ها بر روی کامپیوتر آلوده ادامه می دهد.

باج افزار Dharma .arrow – فرایند رمزگذاری

همانند سایر باج افزارهای CrySyS، باج افزار Dharma هم از الگوریتم AES برای رمزگذاری فایل ها بر روی کامپیوتر آسیب دیده استفاده می کند. این فرایند، نتیجه ی انواع فعالیت های مختلف است  که اتفاق می افتد از جمله انجماد سیستم برای مدت کوتاه

نوع .arrow از Dharma یک اسکن از انواع فایل های زیر را انجام می دهد و اگر یا فایل همسان را شناسایی کند، بدافزار آنها را رمزگذاری می کند :

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD Files .DWG .DXF GIS Files .GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files .AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA Video Files .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG”

پس از اینکه باج افزار arrow با این روش فایل ها را رمزگذاری کرد، بلافاصله پسوند .arrow را به فایل های رمز شده اضافه می کند و آنها را مانند شکل زیر می بینیم :

2

پس از رمزگذاری، فایل های .arrow را نمی توان از طریق هر نرم افزاری باز کرد زیر ساختار این فایل ها با الگوریتم رمزنگاری AES جایگزین شده است. الگوریتمی که توسط باج افزار Dharma استفاده می شود.

با این وجود، کارشناسان امنیتی به شدت توصیه به پرداخت نکردن پول می کنند زیرا نمی توان اعتماد کرد که کلاه برداران فایل ها را بازیابی می کنند یا نه.

نمونه ای از تشخیص این باج افزار توسط آنتی ویروس F-Secure

2