Dharma2018 es una evolución del ransomware/malware dharma, que a su vez es una evolución del ransomware CrySiS.

 

Los archivos cifrados pueden tener una extensión .dharma .gamma .combo .arrow .audit .tron .adobe .bear .wallet .zzzzz .no_more_ransom .arrow .combo .STOP .heets .auf .btc .gamma .STG .eth .karls .pedant .sden .sblock dependiendo de la versión.

​

El malware cifra los archivos de usuario con un cifrado RSA de 2048 bits muy fuerte y una clave AES de 128 bits, lo que dificulta mucho el descifrado directo para los programadores y desarrolladores que tienen que buscar en el código del virus una solución técnica para recuperar la clave, o rastros de la misma. para que los archivos vuelvan a ser legibles.

​

El usuario podría encontrar en la PC un archivo, datacipher.txt o README.txt, que contienen un mensaje que dirige a una página web para la compra de la clave y la posterior descarga de un descifrador.

 

Sin embargo, con mayor frecuencia, Dharma2018 deja una dirección de correo electrónico en el nombre del archivo: no recomendamos en absoluto que se comunique con él, ya que es posible que el pirata informático aún tenga acceso a su PC/Servidor y le dará un "recordatorio" del hecho de que tiene acceso. a su red. Como consecuencia, es posible que tenga más accesos no deseados y quizás la instalación de otras puertas traseras o rootkits que son muy difíciles de eliminar.

​

​

​

​

 

​​​​

​

​

​

​

Tengo Windows Server y me infecté, ¿cómo es posible? 

 

Este malware altamente avanzado se propaga principalmente a través de ataques directos en el puerto RDP, generalmente en máquinas que ejecutan el siguiente sistema operativo:

 

Windows Server 2003 (abril de 2003)
Windows Server 2003 R2 (septiembre de 2005)
Windows Server 2008 (abril de 2008)
Windows Server 2008 R2 (julio de 2009)
Windows Server 2012 (agosto de 2012)

Windows Server 2012 R2 (octubre de 2013)

Windows Server 2016   (septiembre de 2016)

Windows Server 2019  (octubre de 2018)

Windows Server 2022 (mayo de 2022)​​

​

¿Qué se recomienda hacer después de la infección? 

​

Es recomendable desconectar de la red los PC/servidores infectados y contactar inmediatamente con un experto para averiguar el origen de la infección. Por lo general, el sistema operativo no está dañado, pero es muy probable que haya puertas traseras ocultas o rootkits dentro del sistema. Probar técnicas de recuperación "tradicionales" u otras solo pondrá en riesgo aún más la ya baja probabilidad de recuperar todos sus documentos.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

 

Mi contraseña RDP era muy segura, ¿cómo la encontraron? 

​

Desafortunadamente, incluso con una contraseña de 20 caracteres aleatorios, generalmente muy segura, no existe una protección efectiva ya que se utilizan exploits en el puerto RDP, lo que permite de manera efectiva eludir la contraseña.

​

​

La cuenta de administrador fue deshabilitada, ¿qué pasó? 

​

A menudo, la cuenta de "administrador" se desactiva por razones de seguridad, pero todo el proceso de encriptación se realizó desde esa cuenta, ¿cómo fue posible?

Todo esto sucede a través de una "escalada de privilegios", es decir, te conectas a través de un usuario "normal", se elevan los privilegios de este usuario que a su vez crea o reactiva la cuenta de administrador, a la que te conectarás más tarde para realizar la encriptación.  

​

​

Había restringido las conexiones que podían acceder al servicio RDP, ¿cómo se conectaban? 

​

¿Hay clientes "abiertos" en Internet en su red? Incluso si su servidor limita las conexiones desde las que se puede acceder (a través de firewall, VPN, ipfiltering, whitelisting, etc.), la conexión se realiza a través del RDP del cliente conectado a Internet. 

Una vez que haya tomado el control de este cliente, se conecta a través de él al servidor en la red interna, lo que hace que el filtrado de todas las IP externas sea inútil.

​

​

El puerto del servicio RDP no era el estándar, ¿cómo encontraron el servicio? 

​

Los puertos estándar para el servicio RDP son 445 y 3389, pero configuré el servicio en el puerto 5555, ¿cómo lo encontraron? Simplemente con un escáner de redes, que analiza todos los puertos del 1 al 65000​ buscando el servicio RDP.

​

​

Entonces, ¿qué puedo hacer para protegerme de futuros ataques de DHARMA2018?​

​

Los dos consejos que damos a nuestros clientes para protegerse de la infección son:​

- cierre inmediatamente el servicio RDP  en todas las máquinas locales y remotas

- instale nuestro script de protección contra ransomware, más info AQUÍ

​

​

¿Dónde han ido mis copias de seguridad? ¿Qué pasa con las máquinas virtuales?​

​

Después de la infección de Dharma, los archivos .backup se eliminan y, a menudo, también las máquinas virtuales (VMware, Oracle VM VirtualBox, etc.), que se inician y luego se eliminan o cifran.​

​

¿Cómo descifrar archivos cifrados por Dharma2018? 

¿Puedes recuperar mis datos?

​

¡Sí, para algunas versiones de dharma, podemos recuperar todos sus archivos! 

​

Escríbanos un correo electrónico ainfo@eliminacryptolocker.com adjuntar archivos cifrados y su número de teléfono móvil;

 

¡Te responderemos lo más pronto posible!

​

​

¿Qué extensión pueden tener los archivos infectados por Dharma?​

​

Las extensiones posibles, y descubiertas actualmente, son: .wallet .zzzzz .no_more_ransom .arrow .STOP .heets .auf .gamma .STG .audit .cccmn .tron .adobe .STOP .auf .heets .gamma .combo .arrow .audit . tron .adobe .bear .zzzzz .no_more_ransom .arrow .combo .STOP .heets .auf .btc .gamma .STG .eth .karls .pedant .sden .sblock .sysfrog .qbx .mogera .zoh .beets .rezuc .LOTR . harma .stone .EZDZ .radman .ferosas .TOR13 .rectot .ge0l0gic .legacy .skymap .sarut .navi .mamba .dotmap .zoro .qbix .aa1 .wal .berost .forasom .jack .MERS .bkc .fordan .QH24 . codnat .qbtex .PLUT .codnat1 .bufas .drweb .heroset .zoh .muslat .horon .0day .copan .adage .truke .adame .decryption2019 .seto .banjo .banks .meds

​​

¿Cuáles son las últimas versiones de Dharma que has descubierto?

​

Este malware se actualiza continuamente y, casi todas las semanas, sale una nueva versión, a veces con una nueva extensión, lo que dificulta el trabajo de los investigadores de seguridad debido a los cambios y modificaciones que se realizan en el código del virus. Por ejemplo, las últimas extensiones son: .tflower .Erenahen .barak .nemty .makkonahi .carote .hese .gero .geno .nuksus .cetori .stare .HorseLiker .Apollon865 .seto .shariz .1be018 .moka .MGS .peta .hilda . toec .petra .meka .GodLock .mosk .lokf .octopus .nvram .ninja .grod .SySS .rag2hdst .5ss5c .grinch .sivo .kodc .duece .devon .awt .bitcrypt .bddy .harma .dever .lockbit .foop . makop .dewar .lokd .CARLOS .LCK .VAGGEN .nypg .bH4T .Acuf2 .Szymekk .TG33 .foqe .MERIN .zxcv .mmpa .CRPTD .MadDog .FLYU .osnoed .CURATOR .woodrat .optimus .ehiz .iqll .eking . bloqueo de datos .Dcry .gtsc .dme .Viper .deadbolt .7z .codificado01

​

¿Tiene alguna otra pregunta o necesita más información?​

 

Escríbenos a info@recuperafiles.it e intentaremos aclarar todas tus dudas.

​

​