Dharma ransomware family.WIRUS

Witam. Mam taki problem bliska mi osoba ma na komputerze wirusa Dharma
Dokladnie to 3442516480@qq.com
Wie może ktoś jak go pokonać?
Skanowałem komputer wieloma antywirusami np. Malwarebytes ale nic nie mogą znaleźć.
Zdj pliki są zakodowane.
Pomocy

1lajk

Witaj @marcin5665s na Forum DobreProgramy

Większość Ransomware działa jednorazowo kodując pliki.
Dharma, jeśli jest to najnowsza wersja, to jest to hybryda Dharma + DjvU
co niestety nie daje możliwości odkodowania plików

Napisz jakie rozszerzenie mają zakodowane pliki.
Poszukam programów testujących

Po ataku Ransomware, najbezpieczniej jest zrobić format i zainstalować system od nowa.
Oczywiście zalecam skopiowanie ważnych niezakodowanych plików do nowego systemu, a ważne zakodowane przenieść na inny dysk, z nadzieją, że będzie można je w przyszłości odkodować

Pozdrawiam serdecznie
Juliusz
stopa

1lajk

Napisz skargę do chińskiej ambasady w Warszawie, jak znajdą u siebie tego hakera i zechce na torturach wydać Twój klucz, to dane odzyskasz…inaczej przepadły. :frowning:
Możesz jednak spróbować.

Only old versions can be decrypted using Trend Micro or Kaspersky decryption tools

Zgodnie ze stroną działaja na starsze wersje, o tym tez iJuliusz napisał: Remove DHARMA Ransomware Virus (2021 Guide) | Geek’s Advice

2lajki

Pliki mają rozszerzenia PDF.
Może coś wymyślisz jak nie to format, chciałem robić od razu, ale zdj są bardzo ważne dla kogoś, ale jak się nie da nic zrobić to trudno.

Edit.
A jeszcze mam pytanie jeśli skopiuje jakieś pliki z tego komputera czy wirus może przenieść się na inne komputery ?

:smiley: :smiley: myślę, że go nie znajdą.
Próbowałem już z tych stron korzystać ale to na nic.
Osoba nie zrobiła kopi zapasowej więc nie ma mowy o przywróceniu poprzedniej wersji, chyba że z 2019,ale wtedy nie będzie tych ważnych zdj :smiley:

Istnieje szansa, że część zdjęć była przenoszona lub usunięta przed wirusem lub może skasowane oryginały nie są nadpisane. Można dla spokoju sumienia przejechać recuvą lub podobnym do odzyskiwania skasowanych plików, ale nie wróżę wielkiego sukcesu. Tylko dla spokoju sumienia wspominam, szansa jak na 6 w lotka.

1lajk

Spróbuj tego narzędzia
CrySiS Decryptor

1lajk

Myślę, że raczej nic nie było przenoszone tu jest zdj multum z paru lat.

Niestety nic…

Tego się spodziewałem…
Ja zapewne zmieniłbym rozszerzenie na .wallet i/lub .dharma zamiast .pdf i próbowałbym dalej.

Z tego co znalazłem to zakodowanie z rozszerzeniem .pdf jest nie do odzyskania :frowning:

Już w 2019 nie było możliwości, a aktualne mogą być hybrydą, jak napisałem wcześniej.

Na przyszłość, jeżeli jest to Windows 10 to ma w Windows Defenderze ochronę folderów z ważnymi danymi przed Ransomware, ale tą opcję trzeba samemu aktywować.
https://pogotowie-komputerowe.org.pl/jak-wlaczyc-ochrone-ransomware-w-windows-defender

Nie chroni to w 100% przed tego typu zagrożeniami, ale może ocalić pliki.
Warto robić też systematycznie kopie zapasowe np. na dysku USB, który nie jest na stałe podłączony do komputera.

Jeżeli to starszy system niż Windows 10 lub nie do końca ufamy zabezpieczeniom znajdującym się w W. Defendarze to można użyć darmowego oprogramowania anti-ransomware np.:
https://www.kaspersky.com/anti-ransomware-tool
… lub od innego producenta.

jak to zmienić rozszerzenie ?

Tak masz racje ale to nie jest mój komputer więc nie miałem jak zainstalować anty z resztą jest tu avast :smiley:
Windows 7 się kłania z 2009 rok

… machnij więc jeszcze skan ease us ,. recuvą czy czymą tam. Moze właścicielka jednak usuwała jakieś duplikaty, na 100% nie pamięta co robiła na kopie 6 miesięcy temu, i coś znajdziesz, najwyżej stracisz 2h na skan, a będziesz mógł oddać z czystym sumieniem mówiąc: wszystko pozamiatane, nie ma nic!

1lajk

Zmień nazwę pliku cośtam.pdf na cośtam.wallet

Zrób jeszcze test tutaj
https://www.nomoreransom.org/crypto-sheriff.php?lang=pl

a na stronie
https://www.nomoreransom.org/pl/decryption-tools.html

odszukaj narzędzia do CrySiS i do Dharma
Spróbuj odszyfrować

1lajk

Jak zmieniam nazwę pliku to mi daje .wallet.pdf
pierwszy link jak daje sprawdź to mnie wywala dalej żeby wgrac pliki.
W drugim pobieram oba ale nie dają rady odszyfrować

W pierwszym linku trzeba wgrać pliki według instrukcji, żeby sprawdziło wersję Ransom

Zmienia nazwę. Czyżby był aktywny?

Zrób skan RKill, wstaw plik wynikowy
Potem zrób skan RogueKiller, oczyść to co znajdzie, wstaw plik wynikowy

Jak daje sprawdź to pisze mi witryna nie osiągalna.
Pierwszy


Drugi skanuje chwilę zejdzie juz znalazło 26
PS. Sorki ze zdj z tela

Drugi program

Jeśli nie da rady odczytać to jakoś wyślę pliki

Już

1lajk