Dharma2018 ist eine Weiterentwicklung von Dharma-Ransomware/-Malware, die selbst eine Weiterentwicklung von CrySiS-Ransomware ist.

 

Verschlüsselte Dateien können die Erweiterung .dharma .gamma .combo .arrow .audit .tron .adobe .bear .wallet .zzzzz .no_more_ransom .arrow .combo .STOP .heets .auf .btc .gamma .STG .eth .karls .pedant haben .sden .sblock je nach Version.

​

Die Malware verschlüsselt Benutzerdateien mit einer sehr starken 2048-Bit-RSA-Verschlüsselung und einem 128-Bit-AES-Schlüssel, was die direkte Entschlüsselung für Programmierer und Entwickler sehr schwierig macht, die im Virencode nach einer technischen Lösung suchen müssen, um den Schlüssel oder Spuren davon wiederherzustellen. um die Dateien wieder lesbar zu machen.

​

Der Benutzer könnte auf dem PC eine Datei datacipher.txt oder README.txt finden, die eine Nachricht enthalten, die auf eine Webseite für den Kauf des Schlüssels und den anschließenden Download eines Entschlüsselers verweist.

 

Häufiger hinterlässt Dharma2018 jedoch eine E-Mail-Adresse im Dateinamen: Wir empfehlen absolut nicht, ihn zu kontaktieren, da der Hacker möglicherweise noch Zugriff auf Ihren PC/Server hat und Sie ihn daran „erinnern“, dass er Zugriff hat zu Ihrem Netzwerk. Als Folge kann es zu weiteren unerwünschten Zugriffen und möglicherweise zur Installation anderer Backdoors oder Rootkits kommen, die sehr schwer zu entfernen sind.

​

​

​

​

 

​​​​

​

​

​

​

Ich habe Windows Server und wurde infiziert, wie ist das möglich? 

 

Diese hochentwickelte Malware wird hauptsächlich über direkte Angriffe auf den RDP-Port verbreitet, normalerweise auf Computern mit dem folgenden Betriebssystem:

 

Windows Server 2003 (April 2003)
Windows Server 2003 R2 (September 2005)
Windows Server 2008 (April 2008)
Windows Server 2008 R2 (Juli 2009)
Windows Server 2012 (August 2012)

Windows Server 2012 R2 (Oktober 2013)

Windows Server 2016   (September 2016)

Windows Server 2019  (Oktober 2018)

Windows Server 2022 (Mai 2022)​​

​

Was wird nach der Infektion empfohlen?? 

​

Es ist ratsam, infizierte PCs/Server vom Netzwerk zu trennen und sofort einen Experten zu kontaktieren, um den Ursprung der Infektion herauszufinden. Normalerweise ist das Betriebssystem nicht beschädigt, aber es ist sehr wahrscheinlich, dass versteckte Hintertüren oder Rootkits im System vorhanden sind. Das Ausprobieren „herkömmlicher“ oder anderer Wiederherstellungstechniken wird die ohnehin geringe Wahrscheinlichkeit, alle Ihre Dokumente wiederherzustellen, nur noch mehr gefährden.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Mein RDP-Passwort war sehr sicher, wie haben sie es gefunden? 

​

Leider gibt es selbst mit einem Passwort aus 20 zufälligen Zeichen, das normalerweise sehr sicher ist, keinen wirksamen Schutz, da auf dem RDP-Port Exploits verwendet werden, die eine Umgehung des Passworts effektiv ermöglichen.

​

​

Das Administratorkonto wurde deaktiviert, was ist passiert? 

​

Häufig wird das „Administrator“-Konto aus Sicherheitsgründen deaktiviert, obwohl der gesamte Verschlüsselungsprozess von diesem Konto aus stattgefunden hat, wie war das möglich?

All dies geschieht durch eine „Privilegieneskalation“, d.h. Sie verbinden sich über einen „normalen“ Benutzer, die Privilegien dieses Benutzers werden erhöht, der wiederum das Administratorkonto erstellt oder reaktiviert, mit dem Sie sich später verbinden, um die Verschlüsselung durchzuführen.  

​

​

Ich hatte die Verbindungen eingeschränkt, die auf den RDP-Dienst zugreifen konnten. Wie haben sie sich verbunden? 

​

Gibt es in Ihrem Netzwerk "offene" Clients im Internet? Auch wenn Ihr Server die Verbindungen einschränkt, von denen aus auf ihn zugegriffen werden kann (über Firewall, VPN, IP-Filterung, Whitelisting usw.), wird die Verbindung über das RDP des mit dem Internet verbundenen Clients hergestellt.

Sobald Sie die Kontrolle über diesen Client übernommen haben, verbinden Sie sich über ihn mit dem Server im internen Netzwerk, wodurch das Filtern aller externen IPs effektiv nutzlos wird.

​

​

Der RDP-Dienstport war nicht der Standardport, wie haben sie den Dienst gefunden? 

​

Die Standardports für den RDP-Dienst sind 445 und 3389, aber ich hatte den Dienst auf Port 5555 eingestellt, wie haben sie ihn gefunden? Einfach mit einem Netzwerkscanner, der alle Ports von 1 bis 65000​ auf der Suche nach dem RDP-Dienst analysiert.

​

​

Was kann ich also tun, um mich vor zukünftigen DHARMA2018-Angriffen zu schützen?​

​

Die zwei Ratschläge, die wir unseren Kunden geben, um sich vor einer Infektion zu schützen, lauten:​

- Schließen Sie sofort den Dienst RDP  auf allen lokalen und Remote-Computern

- Installieren Sie unser Ransomware-Schutzskript, mehr info HIER

​

​

Wo sind meine Backups geblieben? Was ist mit virtuellen Maschinen?​

​

Nach der Dharma-Infektion werden die .backup-Dateien gelöscht und oft auch alle virtuellen Maschinen (VMware, Oracle VM VirtualBox, etc.), die gestartet und dann gelöscht oder verschlüsselt werden.

​

Wie entschlüsselt man von Dharma2018 verschlüsselte Dateien? 

Können Sie meine Daten wiederherstellen?

​

Ja, für einige Dharma-Versionen können wir alle Ihre Dateien wiederherstellen!! 

​

Schreiben Sie uns eine E-Mail aninfo@eliminacryptolocker.com Anhängen verschlüsselter Dateien und Ihrer Mobiltelefonnummer;

 

Wir werden Ihnen so schnell wie möglich antworten!

​

​

Welche Erweiterung können von Dharma infizierte Dateien haben?​

​

Mögliche und derzeit entdeckte Erweiterungen sind: .wallet .zzzzz .no_more_ransom .arrow .STOP .heets .auf .gamma .STG .audit .cccmn .tron .adobe .STOP .auf .heets .gamma .combo .arrow .audit . tron .adobe .bear .zzzzz .no_more_ransom .arrow .combo .STOP .heets .auf .btc .gamma .STG .eth .karls .pedant .sden .sblock .sysfrog .qbx .mogera .zoh .beets .rezuc .LotR . harma .stone .EZDZ .radman .ferosas .TOR13 .rectot .ge0l0gic .legacy .skymap .sarut .navi .mamba .dotmap .zoro .qbix .aa1 .wal .berost .forasom .jack .MERS .bkc .fordan .QH24 . codnat .qbtex .PLUT .codnat1 .bufas .drweb .heroset .zoh .muslat .horon .0day .copan .adage .truke .adame .decryption2019 .seto .banjo .banks .meds

​​

Was sind die neuesten Versionen von Dharma, die Sie entdeckt haben?

​

Diese Malware wird ständig aktualisiert und fast jede Woche erscheint eine neue Version, manchmal mit einer neuen Erweiterung, was die Arbeit der Sicherheitsforscher angesichts der Änderungen und Modifikationen, die am Virencode vorgenommen werden, erschwert. Die neuesten Erweiterungen sind zum Beispiel: .tflower .Erenahen .barak .nemty .makkonahi .carote .hese .gero .geno .nuksus .cetori .stare .HorseLiker .Apollon865 .seto .shariz .1be018 .moka .MGS .peta .hilda . toec .petra .meka .GodLock .mosk .lokf .octopus .nvram .ninja .grod .SySS .rag2hdst .5ss5c .grinch .sivo .kodc .duece .devon .awt .bitcrypt .bddy .harma .dever .lockbit .foop . makop .dewar .lokd .CARLOS .LCK .VAGGEN .nypg .bH4T .Acuf2 .Szymekk .TG33 .foqe .MERIN .zxcv .mmpa .CRPTD .MadDog .FLYU .osnoed .CURATOR .woodrat .optimus .ehiz .iqll .eking . Datensperre .Dcry .gtsc .dme .Viper .deadbolt .7z .verschlüsselt01

​

Haben Sie weitere Fragen oder benötigen Sie weitere Informationen?​

 

Schreiben Sie uns an at info@recuperafiles.it und wir werden versuchen, alle Ihre Zweifel zu klären.

​

​