Supprimer Le virus Dharma Ransomware

Le ransomware Dharma a été signalé à infectant les postes de travail il y a deux jours, le 16 Novembre 2016. Il a été signalé comme infectant les ordinateurs individuels unique ainsi que les ordinateurs en réseau. D’après une information intéressante, parfois le virus laisse certains des ordinateurs en réseau intacts. En plus de cela, cet étrange ransomware peut ne pas laisser de note de rançon – le message important, qui raconte à la victime est ce qui est arrivé et donne des instructions sur ce qu’il faut faire. L’encodeur de fichier Dharma est pensé pour être une nouvelle variante de CrySiS ransomware, selon les schémas hexagonaux qu’il ajoute aux fichiers.

Quelques aspects technique du ransmoware Dharma

Il y a encore plus de questions que de réponses en ce qui concerne cette nouvelle menace ce cryptage de fichiers sous le nom de Dharma. Le schéma qu’elle emploie pour chiffrer les données cible uniquement le lecteur C. Ce nouveau malware de cryptage ajoute .[[email protected]] .dharma ou .[[email protected]] .dharma comme extension à chaque nom de fichier crypté, selon quel est le contact e-mail spécifique. Dans le premier cas, un fichier original Document.doc sera renommé Document. [[email protected]] .dharma, dans le second scénario le fichier Document.doc deviendra Document. [Worm01 @ india .com] .dharma. La liste définitive des fichiers ciblés pas encore été présentée.

Chose intéressante, le virus de données de ciblage Dharma ne remplace pas le fond d’écran de la victime avec tout type d’image contenant la note de rançon. Bien que certaines des versions de ce virus ransomware, en fait, ont une note de rançon, qui est contenue dans le fichier README.txt placé dans le dossier de démarrage. Le texte de la note est le suivant:

ATTENTION!

At the moment, your system is not protected.

We can fix it and restore files.

To restore the system write to this address:

[email protected]

Après chaque redémarrage de l’ordinateur infecté, le virus de cryptage Dharma va crypter chaque nouveau fichier stocké dans le disque C. Skanda.exe, plink.exe, dans le dossier nommé opFirlma et worm.exe sont les noms des fichiers exécutables détectés pour contenir la charge utile du malware .

De quelle manière la rapide expansion du ransomware Dharma est elle propagée?

La méthode spécifique avec laquelle le bloqueur de fichier Dharma infecte les PC n’a pas encore été présentée.Mais, on considère que ce virus se propage de la manière habituelle des crypto-virus. Cela fait référence à l’envoi de mails de spam infectés prétendant contenir les informations importantes concernant les taxes, les amendes, les colis, etc. Ils peuvent même contenir des marques spéciales de certaines institutions et / ou de sociétés officielles. En plus de cela, le virus de cryptage Dharma peut être installé sur l’ordinateur de la victime avec que des téléchargements gratuits, des détournements DLL (Dynamic Link Library) , des attaques de kits d’exploitation, etc.

Recommandations pour supprimer le ransomware Dharma

Il est recommandé de supprimer le cheval de Troie Dharma avec des outils professionnels. Nous avons des programmes antivirus à l’esprit. Notre recommandation serait d’utiliser des applications telles que Spyhunter ou [ rev name= Malwarebytes] pour avoir le ransomware éliminé ainsi que l’ensemble du système de l’ordinateur nettoyé. En outre, à la fin de l’article, vous trouverez le manuel des instructions de suppression, qui peuvent également vous aider à supprimer le ransomware Dharma de votre PC.

Recommandations pour restaurer les données

Le décrypteur RakhniDecrypter de Kaspersky pour CrySiS ne fonctionne pas dans le cas de Dharma. Même si vous avez modifié l’extension avec celle de Dharma, vous obtiendrez une erreur, indiquant que ce type de fichier n’est pas pris en charge. En conséquence, il vous reste les options suivantes pour récupérer vos fichiers abîmés. Votre prochaine étape, après le scan du lecteur infecté C et le retrait du ransomware, est d’utiliser votre sauvegarde ou d’exécuter ShadowExplorer pour savoir si les clichés instantanés ont été supprimés ou non. Si les deux choix de sauvegarde ne correspondent pas à votre cas particulier, utilisez des logiciels de récupération de données telles que Recuva, logiciel de restauration de données par Kaspersky Lab, etc.

Mise à jour du 18 Décembre 2016. Le ransomware Dharma a commencé à utiliser [email protected] comme adresse mail de contact.

Comment supprimer Dharma Ransomware en utilisant System Restore(Restauration du système)?

1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande

Pour Windows 7 / Vista/ XP

• Démarrer → Eteindre → Redémarrer → OK.
• Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
• Choisir Mode sans échec avec Invite de commande.

Pour Windows 8 / 10

• Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
• Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
• Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.

Restaurer les fichiers du système et les paramètres.

• Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
• Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
• Cliquez sur “Suivant” dans la fenêtre qui est apparue.
• Sélectionner un des Point de restauration qui sont disponibles avant que Dharma Ransomware ait infiltré votre système puis cliquer sur “Suivant”.
• Pour démarrer la Restauration du système, cliquer sur “Oui”.

2. Compléter la suppression de Dharma Ransomware

Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme  Spyhunter et de supprimer tous les fichiers malveillants en lien avec Dharma Ransomware.

3. Restaurer les fichiers affectés par Dharma Ransomware en utilisant les copies Shadow Volume

Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Dharma Ransomware essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.

Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.

a) Précédentes versions Windows d’origine

Clic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.

b) Shadow Explorer

C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.

Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.

Outils de suppression Malware automatique