Qu'est-ce que Dharma-ETH Ransomware

Ransomware Dharma-ETH est une nouvelle génération de Crysis-Dharma-Cézar famille de ransomwares, en particulier Dharma variation. Il a été nommé d'après l'extension qu'il ajoute aux fichiers cryptés: .ETH. En fait, le virus ajoute un suffixe complexe, qui se compose de plusieurs parties: adresse e-mail, numéro d'identification unique à 8 chiffres (complètement aléatoire) et .ETH extension. En fin de compte, les fichiers affectés reçoivent un suffixe complexe, qui ressemble à ceci - .id- {8-digit-id}. [{email-address}]. ETH. Voici l'exemple d'extension, qui a été utilisé sur les vrais ordinateurs de nos lecteurs:

  • .id- {id}. [helpfilerestore@india.com] .ETH
  • .id- {id}. [blackhat2019@aol.com] .ETH
  • .id- {id}. [raphaeldupon@aol.com] .ETH
  • .id- {id}. [master777@tutanota.com] .ETH

Après la procédure destructive, le ransomware crée 2 fichiers texte: FICHIERS ENCRYPTED.TXT ainsi que Info.hta dans les dossiers avec les fichiers cryptés et sur le bureau. Il fait également apparaître la fenêtre avec le message suivant (peut également être vu sur l'image ci-dessous):

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail helpfilerestore@india.com
Write this ID in the title of your message ********
In case of no answer in 24 hours write us to theese e-mails:helpfilerestore@india.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

FICHIERS ENCRYPTED.TXT est le court fichier texte, qui encourage les utilisateurs à contacter les pirates avec un tel message:

all your data has been locked us
You want to return?
write email helpfilerestore@india.com

Les notes de rançon ne contiennent pas d'informations sur le montant que les utilisateurs doivent payer pour renvoyer les fichiers. Il n'y a pas non plus d'informations sur les algorithmes de cryptage qu'il utilise. Cependant, d'après l'expérience d'infections précédentes de ce type, nous pouvons dire qu'il utilise probablement le cryptage AES ou RSA-2048 et essaiera de vous arnaquer une somme de 500 $ à 1500 $, qui doit être payée en Monero, Dash ou BTC (BitCoins). L'utilisation de la crypto-monnaie rend impossible le suivi du bénéficiaire. Nous ne recommandons pas de verser de l'argent aux malfaiteurs. Actuellement, il n'y a AUCUN outil de décryptage, qui décryptera les fichiers cryptés par Dharma-ETH Ransomware. Habituellement, après un certain temps, les spécialistes de la sécurité des sociétés d'antivirus ou des chercheurs individuels cassent les algorithmes et libèrent des clés de décryptage. Mentionnez que certains fichiers peuvent être restaurés à l'aide de sauvegardes, de clichés instantanés, de versions antérieures de fichiers ou d'un logiciel de récupération de fichiers. Suivez précisément les instructions ci-dessous pour supprimer Dharma-ETH Ransomware et décrypter les fichiers .ETH dans Windows 10, 8, 7 sans effort.

Ransomware Dharma-ETH

Comment Dharma-ETH Ransomware a infecté votre PC

Dharma-ETH Ransomware utilise le courrier indésirable avec des pièces jointes .docx malveillantes. Ces pièces jointes contiennent des macros malveillantes qui s'exécutent lorsque l'utilisateur ouvre le fichier. Ces macros téléchargent l'exécutable du serveur distant, qui, à son tour, lance le processus de cryptage. Le virus peut également utiliser les services de bureau à distance pour infiltrer les PC de la victime. Il est important de savoir que ce ransomware peut crypter les lecteurs réseau mappés, les lecteurs hôtes de machine virtuelle partagés et les partages réseau non mappés. Il est nécessaire de contrôler l'accès aux partages réseau. Après le cryptage, les clichés instantanés des fichiers sont supprimés par la commande: vssadmin.exe vssadmin supprimer les ombres / tout / silencieux. Le virus attribue un certain ID aux victimes, qui est utilisé pour nommer ces fichiers et censé envoyer la clé de déchiffrement. Afin de prévenir l'infection par ce type de menaces à l'avenir, nous vous recommandons d'utiliser SpyHunter 5 or Norton Antivirus.

Télécharger l'outil de suppression de Dharma-ETH Ransomware

Télécharger l'outil de suppression

Pour supprimer complètement Dharma-ETH Ransomware, nous vous recommandons d'utiliser Norton Antivirus de Symantec. Il détecte et supprime tous les fichiers, dossiers et clés de registre de Dharma-ETH Ransomware.

Comment supprimer Dharma-ETH Ransomware manuellement

Il n'est pas recommandé de supprimer Dharma-ETH Ransomware manuellement, pour une solution plus sûre, utilisez plutôt des outils de suppression.

Fichiers Dharma-ETH Ransomware:

Info.hta
{randomfilename}.exe
FILES ENCRYPTED.txt
DHL.exe

Clés de registre Dharma-ETH Ransomware:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "filename.exe" = %UserProfile%\AppData\Roaming\{randomfilename}.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "filename.exe" = %UserProfile%\AppData\Roaming\{randomfilename}.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"" = mshta.exe "%UserProfile%\AppData\Roaming\Info.hta"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "mshta.exe "C:\Windows\System32\Info.hta"" = "mshta.exe "C:\Windows\System32\Info.hta""

Comment décrypter et restaurer des fichiers .ETH

Utilisez des décrypteurs automatisés

décrypteur de rançongiciel kaspersky dharma

Utilisez l'outil suivant de Kaspersky appelé Rakhni Decryptor, qui peut décrypter les fichiers .ETH. Télécharger les ici:

Télécharger RakhniDecryptor

Il n'y a aucune raison de payer la rançon, car rien ne garantit que vous recevrez la clé, mais vous exposerez vos identifiants bancaires à un risque.

Si vous êtes infecté par Dharma-ETH Ransomware et que vous l'avez supprimé de votre ordinateur, vous pouvez essayer de déchiffrer vos fichiers. Les fournisseurs d'antivirus et les particuliers créent des décrypteurs gratuits pour certains crypto-casiers. Pour tenter de les déchiffrer manuellement, vous pouvez effectuer les opérations suivantes:

Utilisez Stellar Phoenix Data Recovery Pro pour restaurer les fichiers .ETH

  1. Télécharger Récupération de données Stellar Phoenix Pro.
  2. Sélectionnez l'emplacement pour rechercher les fichiers perdus et cliquez sur Scanner .
  3. Attendre jusqu'à Rapide ainsi que Profond les scans sont terminés.
  4. Prévisualisez les fichiers trouvés et restaurez-les.

Utilisation de l'option Versions précédentes de Windows:

  1. Cliquez avec le bouton droit sur le fichier infecté et choisissez biens.
  2. Sélectionnez Versions précédentes languette.
  3. Choisissez une version particulière du fichier et cliquez sur Copier.
  4. Pour restaurer le fichier sélectionné et remplacer l'existant, cliquez sur le Restaurer .
  5. Au cas où il n'y aurait aucun élément dans la liste, choisissez une méthode alternative.

Utilisation de Shadow Explorer:

  1. Télécharger Shadow Explorer .
  2. Exécutez-le et vous verrez la liste d'écran de tous les lecteurs et les dates auxquelles le cliché instantané a été créé.
  3. Sélectionnez le lecteur et la date à partir desquels vous souhaitez effectuer la restauration.
  4. Cliquez avec le bouton droit sur un nom de dossier et sélectionnez Exportations.
  5. S'il n'y a pas d'autres dates dans la liste, choisissez une autre méthode.

Si vous utilisez Dropbox:

  1. Connectez-vous au site Web DropBox et accédez au dossier contenant les fichiers cryptés.
  2. Cliquez avec le bouton droit sur le fichier crypté et sélectionnez Versions précédentes.
  3. Sélectionnez la version du fichier que vous souhaitez restaurer et cliquez sur le Restaurer .

Comment protéger l'ordinateur contre les virus comme Dharma-ETH Ransomware à l'avenir

1. Obtenez un logiciel anti-ransomware spécial

Utiliser ZoneAlarm Anti-Ransomware

Tableau de bord anti-ransomware ZoneAlarm
Alerte anti-ransomware ZoneAlarm
ZoneAlarm Anti-Ransomware bloqué

Célèbre marque d'antivirus ZoneAlarm par Check Point a publié un outil complet, qui vous aidera avec une protection active contre les ransomwares, en tant que bouclier supplémentaire à votre protection actuelle. L'outil offre une protection Zero-Day contre les ransomwares et vous permet de récupérer des fichiers. ZoneAlarm Anti-Ransomware est compatible avec tous les autres antivirus, pare-feu et logiciels de sécurité, à l'exception ZoneAlarm Extrême (déjà livré avec ZoneAlarm Anti-Ransomware) ou Check Point Endpoint des produits. Les fonctionnalités clés de cette application sont : la récupération automatique des fichiers, la protection contre l'écrasement qui récupère instantanément et automatiquement tous les fichiers cryptés, la protection des fichiers qui détecte et bloque même les crypteurs inconnus.

Télécharger ZoneAlarm Anti-Ransomware

2. Sauvegardez vos fichiers

sauvegarde onedrive

Quel que soit le succès de la protection contre les menaces de ransomware, vous pouvez enregistrer vos fichiers à l'aide d'une simple sauvegarde en ligne. De nos jours, les services cloud sont assez rapides et bon marché. Il est plus judicieux d'utiliser la sauvegarde en ligne que de créer des disques physiques qui peuvent être infectés et chiffrés lorsqu'ils sont connectés à un PC ou être endommagés en cas de chute ou de frappe. Les utilisateurs de Windows 10 et 8 / 8.1 peuvent trouver une solution de sauvegarde OneDrive préinstallée de Microsoft. C'est en fait l'un des meilleurs services de sauvegarde sur le marché et propose des plans tarifaires raisonnables. Les utilisateurs des versions antérieures peuvent s'y familiariser ici. Assurez-vous de sauvegarder et de synchroniser les fichiers et dossiers les plus importants dans OneDrive.

3. N'ouvrez pas les courriers indésirables et protégez votre boîte aux lettres

lave-courrier pro

Les pièces jointes malveillantes aux e-mails de spam ou de phishing sont la méthode la plus populaire de distribution de ransomware. Utiliser des filtres anti-spam et créer des règles anti-spam est une bonne pratique. MailWasher Pro est l'un des leaders mondiaux de la protection anti-spam. Il fonctionne avec diverses applications de bureau et offre un très haut niveau de protection anti-spam.

Télécharger MailWasher Pro
Article précédentComment supprimer Dipladoks.org (Metagmae.org) au démarrage de l'ordinateur
Article suivantComment supprimer les pop-ups Putlocker
James Kramer
James Kramer
https://www.bugsfighter.com
Bonjour, je m'appelle James. Mon site Web Bugsfighter.com, point culminant d'une décennie de voyage dans les domaines du dépannage informatique, des tests de logiciels et du développement. Ma mission ici est de vous proposer des guides complets mais conviviaux sur un éventail de sujets dans ce créneau. Si vous rencontrez des difficultés avec le logiciel ou les méthodologies que j'approuve, sachez que je suis facilement accessible pour obtenir de l'aide. Pour toute demande de renseignements ou communication complémentaire, n'hésitez pas à nous contacter via la page «Contacts». Votre voyage vers une informatique transparente commence ici
Facebook Twitter Youtube

ARTICLES LIÉSPLUS DE L'AUTEUR

1 COMMENTAIRE

Laisser un commentaire

S'il vous plaît entrer votre commentaire!
S'il vous plaît entrer votre nom ici