Nueva variante del Crysis/Dharma Ransomware subido a ID-Ransomware. Jakub Kroustek descubrió algunas muestras para confirmar que efectivamente era una nueva variante de Darma
Esta nueva versión agregará la extensión .Bip a los archivos cifrados. No se sabe exactamente cómo se está distribuyendo esta variante, pero en el pasado el Dharma generalmente se propaga pirateando los Servicios de Escritorio remoto e instalando manualmente el ransomware.
Cuando se instala la variante Bip ransomware, escanea una computadora en busca de archivos de datos y los encripta. Al encriptar un archivo, agregará una extensión en el formato de .id-[id].[Email].bip. Por ejemplo, un archivo llamado prueba.jpg se cifraría y cambiaría a prueba.jpg.id-BCBEF350.[Beamsell@qq.com].bip.
Cabe señalar que este ransomware encriptará las unidades de red mapeadas, las unidades de host de máquinas virtuales compartidas y los recursos compartidos de red no asignados. Por lo tanto, es importante asegurarse de que las acciones de su red estén bloqueadas, de modo que solo aquellos que realmente necesitan acceso tengan permiso.
Cuando esta variante cifra una computadora, también eliminará todas las capas de volúmenes ocultos en la máquina para que no se puedan usar para recuperar archivos no encriptados. Los elimina ejecutando el comando vssadmin delete shadows /all/ quiet.
Este ransomware también creará dos notas de rescate diferentes en la computadora infectada. Uno es el archivo Info.hta, que se inicia con una ejecución automática cuando un usuario inicia sesión en la computadora.
La otra nota se llama FILES ENCRYPTED.txt y se puede encontrar en el escritorio.
Ambas notas de rescate contienen instrucciones para contactar a Beamsell@qq.com a fin de obtener instrucciones de pago.
Finalmente, el ransomware se configurará automáticamente para iniciarse cuando inicie sesión en Windows. Esto le permite cifrar los archivos nuevos que se crean desde que se ejecutó por última vez.
No es posible descifrar la variante Dharma Bip Ransomware
Desafortunadamente, en este momento no hay forma de descifrar archivos cifrados por la variante Bip Ransomware de forma gratuita.
La única forma de recuperar archivos encriptados es mediante una copia de seguridad, o si tiene mucha suerte, a través de Shadow Volume Copies.
Aunque Dharma sí intenta eliminar Shadow Volume Copies, en raras ocasiones las infecciones de ransomware no lo hacen por cualquier motivo.
Debido a esto, si no tiene una copia de seguridad viable, como último recurso, restaurar también los archivos cifrados de Shadow Volume Copies.
Fecha actualización el 2021-05-16. Fecha publicación el 2018-05-16. Categoría: windows. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer