Dharma vírus eltávolítása (eltávolítási útmutató) - (frissítve: 2017. aug)
Eltávolítási Útmutató - Dharma vírus
Mi az, hogy Dharma vírus?
Mit lehet tudni a Dharma ransomware-ről?
A Dharma vírus egy veszélyes ransomware, amely 2016 novemberében érte el a malware-kutatókat. Kezdetben több feltevés is előkerült a vírussal kapcsolatban. A szakértők azt próbálták kideríteni, hogy a vírus egy ransomware-készítő csoport saját fejlesztése-e, vagy valamilyen nagyobb ransomware-család egy újabb változata. Egyáltalán, jelenthet-e akkora veszélyt, mint a Locky vírus?
A Dharma ransomware megjelenése után nem sokkal a szakértők a CrySiS ransomware-rel hozták párhuzamba, valamint felfedezték, hogy az eredeti verzió visszafejthető. Az áldozatokat a titkosításról és a váltságdíjról az [email protected] címről értesítő legújabb változatra ez utóbbi azonban már nem igaz.
Ezeket az információkat az info.hta nevű fájl is tartalmazza. Érdemes megjegyezni, hogy a legújabb adatok szerint a Dharma aktuális változata a következő kiterjesztéseket illeszti a fertőzött fájlokhoz: .dharma, .wallet, .zzzzz.
Felbukkanása napján a szakértők még nem sokat tudtak a Dharmáról, először egy új vírusgenerációnak tartották. Fejlesztői feltehetőleg szándékosan próbálták a lehető legkevesebbet leleplezni róla, nem is a hasonló támadókhoz megszokott módon jártak el.
A vírus például nem hagy üzenetet, amely elárulná, hogy a rendszerbe jutott. Novemberben még az antivírus szoftverek sem voltak képesek azonosítani, ami nagyban nehezítette az eltávolítását. Mostanra azonban már léteznek az eltávolításra képes programok (például FortectIntego). Az eltávolításhoz tehát szerelkezzen fel megfelelő szoftverhez.
A Dharma ransomware legújabb változatai már hagynak üzenetet a számítógépen, szövegük a következő:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
[email protected]
Az áldozatoknak tehát a megadott e-mail címen kell felvenniük a kapcsolatot a támadókkal, itt tudható meg tőlük a fájlok visszaállításához szükséges váltságdíj összege is. A titkosított fájlok nevében az e-mail cím mellett a .dharma, .wallet vagy .zzzzz sor is szerepel. Ha az egyik fájl például eredetileg kép.jpg volt, a titkosított formája a következő: kép.jpg[e-mail cím].dharma.
Érdekesség, hogy a megadott e-mail cím változhat. Fertőzés esetén többek között a [email protected] és a [email protected] is megjelenhet mint kapcsolatfelvételi cím. Arról semmit sem tudni, hogy mit várhatunk a támadóktól, illetve hogy mivel jár a kapcsolatfelvétel. Érdemesebb egyszerűen eltávolítani a Dharma vírust, majd folytatni a számítógép használatát. Ha úgy használja a gépet, hogy a Dharma vírus még a rendszerben van, minden újraindításkor újabb fájlokat fog titkosítani.
Hogyan fertőzhet meg a Dharma ransomware?
A Dharma ransomware fejlesztői az adathalászat módszerével próbálják a rendszerbe juttatni a malware-t. A leggyakrabban használt megoldást a fertőzött e-mailek jelentik. A támadók különböző spam kampányok formájában küldenek megtévesztő e-maileket az internetezőknek – és a címzettek sajnos sokan be is dőlnek a leveleknek.
Ha ismeretlen feladótól kap e-mailt, mindig ellenőriznie kell. Gondolja át, hogy számíthatott-e egyáltalán a levélre. Ha ötlete sincs, hogy miért érkezett, feltehetőleg támadók levelével van dolga. Ilyen esetben nem szabad megnyitnia a levéllel küldött csatolmányt! A Dharma a csatolmányon keresztül jutna a rendszerbe. Ezt gyakran repülőjegynek, gyorshajtási büntetésnek vagy más hasonló dokumentumnak álcázzák.
Hogyan távolítható el a Dharma?
Minden biztonsági szakértő egyöntetű véleménye, hogy a Dharmát és minden más ransomware-t is egy naprakész antimalware szoftverrel kell eltávolítani. A Dharma azonban nagyon jól el tud bújni a rendszerben, előfordulhat, hogy a biztonsági szoftverek sem tudják észlelni. Ebben az esetben a rendszervizsgálat lefuttatása előtt néhány extra lépést kell tennie. A lépéseket lentebb találja. Kövesse őket, utána pedig vizsgálja át a rendszert egy antimalware programmal!
Manuális Eltávolítási Útmutató - Dharma vírus
Dharma eltávolítása ezzel: Safe Mode with Networking
-
Lépés 1: Indítsa a számítógépet Safe Mode with Networking módban
Windows 7 / Vista / XP- Kattintson a következőre: Start → Shutdown → Restart → OK.
- Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
- Válassza a listáról a következőt: Safe Mode with Networking
Windows 10 / Windows 8- Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
- Most a következőkre kattintson: Troubleshoot → Advanced options → Startup Settings, végül pedig ezt nyomja meg: Restart.
- Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Networking
-
Lépés 2: Dharma törlés
Jelentkezzen be a fertőzött fiókba és indítson egy böngészőt. Töltsön le egy megbízható antispyware programot, például: FortectIntego. Telepítse, frissítse, majd futtasson vele teljes rendszervizsgálatot és távolítson el minden rosszindulatú fájlt, amely a ransomware-hez tartozik, majd fejezze be a behatoló (Dharma) eltávolítását.
Próbálkozzon másik módszerrel, ha a ransomware blokkolja a következőt: Safe Mode with Networking
Dharma eltávolítása ezzel: System Restore
-
Lépés 1: Indítsa a számítógépet Safe Mode with Command Prompt módban
Windows 7 / Vista / XP- Kattintson a következőre: Start → Shutdown → Restart → OK.
- Mikor a számítógép bekapcsol, kezdje nyomkodni az F8 billentyűt, amíg meg nem jelenik a Advanced Boot Options ablak.
- Válassza a listáról a következőt: Command Prompt
Windows 10 / Windows 8- Nyomja meg a Power gombot a Windows bejelentkezési képernyőn. Most tartsa nyomva a billentyűzet Shift gombját, majd kattintson a Restart lehetőségre..
- Most a következőkre kattintson: Troubleshoot → Advanced options → Startup Settings, végül pedig ezt nyomja meg: Restart.
- Miután a számítógép beindult, válassza a Startup Settings ablakban a következőt: Enable Safe Mode with Command Prompt
-
Lépés 2: Állítsa vissza a rendszerfájlokat és -beállításokat
- Miután megjelent a(z) Command Prompt ablak, írja be, hogy cd restore, majd kattintson arra, hogy Enter.
- Most írja be, hogy rstrui.exe, majd kattintson ismét arra, hogy Enter..
- Mikor megjelenik az új ablak, kattintson arra, hogy Next, majd válasszon egy Next fertőzést megelőző visszaállítási pontot.
- A rendszervisszaállítás indításához kattintson arra, hogy Yes.
+1: Az adatok visszaállítása
A fenti útmutató a bejutott Dharma eltávolításában segít. A titkosított fájlok visszaállításához az avirus.hu biztonsági szakértőinek részletes útmutatóját érdemes követnie.Több módszerrel is megkísérelheti a bejutott Dharma által titkosított fájlok visszaállítását:
A Dharma által titkosított fájlok visszaállítása a Data Recovery Pro segítségével
A Data Recovery Pro program azoknak készült, akik nem szeretnék kézzel elvégezni az adatok visszaállítását. Automatikus szoftver, amely minden szükséges munkát elvégez. Kövesse tehát a lépéseket, majd várja meg az eredményeket.
- Data Recovery Pro letöltése;
- A letöltött Data Recovery telepítőjének lépéseit követve telepítse a szoftvert számítógépére;
- Indítsa el, és a vizsgálat segítségével gyűjtse össze a bejutott Dharma zsarolóvírus által titkosított fájlokat;
- Állítsa vissza őket.
A Dharma által titkosított fájlok visszaállítása az Előző verziók funkció segítségével
A Windows Előző verziók funkciója is egy lehetőség a titkosított adatok visszaállítására. Fontos, hogy a módszer csak akkor működik, ha a fertőzés előtt már engedélyezve volt a Rendszer-visszaállítás funkció. Ha igen, a következő lépésekkel megpróbálkozhat az adatok megmentésével.
- Kattintson jobb gombbal a visszaállítandó fájlra;
- A “Properties” menüben válassza az “Previous versions” menüpontot;
- Nézze át a fájl elérhető változatait a “Folder versions” szakaszban. Válasszon egy megfelelő változatot, majd kattintson a “Restore” gombra.
Fájlmentés a ShadowExplorerrel
Végül pedig a ShadowExplorer is segíthet a fájlokon. A ShadowExplorer a rendszer árnyékmásolatai segítségével mentheti meg az adatokat. Persze csak akkor, ha a vírus ezeket nem törölte. Ha minden a helyén van, a következő lépésekkel állíthatja vissza az adatokat.
- Töltse le a következőt: Shadow Explorer (http://shadowexplorer.com/);
- A letöltött Shadow Explorer telepítési varázslóját követve telepítse a szoftvert számítógépére;
- Indítsa el a programot, majd a bal felső sarok legördülő listájából válassza ki a titkosított adatokat tároló lemezt. Ellenőrizze az elérhető mappákat;
- Kattintson jobb gombbal a visszaállítandó mappára, majd válassza az “Export” lehetőséget. Kiválaszthatja a visszaállítás célmappáját is.
A titkosított fájlok visszaállítása a Dharma visszafejtő segítségével
Egyelőre nem létezik Dharma visszafejtő. A vírus azonban nagyon hasonlít a Crysis ransomware-hez, érdemes megpróbálni a Kaspersky Lab hozzá való programját. Letölthető innen.
Fontos törődnie a crypto-ransomware vírusok elleni óvintézkedésekkel. Ha meg szeretné védeni számítógépét az olyan ransomware-ektől, mint a most tárgyalt Dharma, használjon megbízható antispyware programot, például: FortectIntego, SpyHunter 5Combo Cleaner vagy Malwarebytes