新變種中檢測到Dharma勒索病毒，這次將.btc文件擴展名附加到由其加密的文件中。勒索病毒類似於Dharma的其他變體，旨在利用多種加密模式的組合，以便使受害者計算機上的文件不再能夠打開並顯示如下：Filename.id {ID-here}.[ [email protected]].btc。Dharma .btc病毒還留下了一個名為FILES ENCRYPTED.txt的贖金記錄文件它包含有關如何支付高額贖金的詳細說明，以便將您的文件恢復到正常的工作步驟

名稱： Dharma .btc文件病毒
類型： 勒索病毒，Cryptovirus
簡短的介紹： 新版CrySyS/Dharma勒索軟件系列。旨在加密受感染計算機上的文件並勒索受害者以支付贖金。
癥狀： 文件具有.btc文件擴展名。一個名為FILES ENCRYPTED.txt的贖金票據文件。
分配方法： 垃圾郵件，電子郵件附件，可執行文件
檢測工具： 看看您的系統是否受到Dharma .btc文件病毒的影響
.btc文件病毒 - 它是如何感染的

• 來自信譽良好的網站的發票，如PayPal，eBay等。
• 來自似乎是受害者銀行的文件。
• 在線訂單確認單。
• 收貨購買。
• 其他。

電子郵件本身往往很簡短，但令人信服並主要關註有問題的電子郵件附件

但是電子郵件並不是.btc Dharma病毒感染的唯一來源。惡意軟件作者可能會使用受感染的網站將感染文件上傳為可執行類型的文件，該文件可作為合法程序提供，可由被誤導的用戶下載，用戶在線搜索。這些類型的程序通常是破解，補丁，免費軟件應用程序的便攜版本，以及這些類型的其他迷你應用程序

Dharma .btc Ransomware - 惡意活動
當您的計算機被.btc Dharma勒索軟件病毒感染時，會在您不知情的情況下進行許多不同的活動，其中可能包括：

• 在PC上創建互斥鎖。
• 在Windows註冊表編輯器中創建值條目。
• 刪除備份的數據庫和卷影副本。
• 更改設置，以便可以毫無問題地更改壁紙，並且病毒具有管理權限。
• 觸摸Windows的系統文件，這可能導致病毒獲得對Windows任務的更多權限。

Dharma勒索軟件的主要惡意負載有以下參數：

SHA-256 0b928b308f9cb448d88ea0c4e50dc668baaecce80a3d5d2424c1092bb70e9d7e
文件大小92.5 KB

在您的計算機上丟棄.btc Dharma病毒的有效負載後，勒索軟件可能會創建和刪除模塊文件，這會導致其惡意活動。這些文件可能位於以下Windows目錄中：

%Roaming%
%Windows%
%AppData%
%Local%
%Temp%
此外，Dharma勒索軟件執行的惡意操作是在Windows的Run和RunOnce註冊表子鍵中創建註冊表值。這些子鍵位於以下Windows鍵中：

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

當病毒想要設置在系統引導時自動運行的程序時，將使用這些子鍵。這些程序通常是加密文件的病毒的惡意文件，這可能是.btc Dharma勒索軟件的情況。

除此之外，Dharma .btc病毒還可以使用以下命令刪除受感染計算機上的卷影卷副本：

bcdedit / set bootstatuspolicy ignoreallfailures
bcdedit / set recoveryenabled No
bcdedit / set {default} bootstatuspolicy ignoreallfailures
bcdedit / set {default} recoveryenabled no
vssadmin delete shadows / for = {volume} / oldest / all / shadow = {Shadow的ID} /Quiet

Dharma .btcRansomware - 加密過程
在加密受感染計算機上的文件之前，Dharma勒索軟件首先掃描要加密的文件，這些文件被認為是最常用的文件。這些文件可能是以下文件擴展名的文件：

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視頻文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。

在掃描要加密的文件時，Dharma勒索軟件的.btc變體非常聰明，不加密以下Windows目錄中包含的文件：

%System32%
%Temp%
%System%
%Windows%
%Local%
%Program Files%
要刪除Dharma .btc文件病毒，請按照下列步驟操作：

1.以安全模式啟動PC以隔離和刪除Dharma .btc文件病毒文件和對象
第1步：打開“ 開始”菜單。

第2步：單擊電源按鈕，在按住“Shift”的同時單擊“ 重新啟動”。

第3步：重啟後，將出現帶有選項的藍色菜單。從他們你應該選擇疑難解答。

第4步：您將看到“ 疑難解答”菜單。從此菜單中選擇“ 高級選項”。

第5步：出現“ 高級選項”菜單後，單擊“ 啟動設置”。

第6步：從Startup Settings菜單中，單擊Restart。

第7步：重啟後會出現一個菜單。您可以通過按相應的數字選擇三個安全模式選項中的任何一個，機器將重新啟動。

第8步：修復PC上惡意軟件和PUP創建的註冊表項。

2.在PC上查找由Dharma .btc Files Virus創建的文件
第1步：在鍵盤上按Windows + R並在“ 運行”文本框中編寫explorer.exe，然後單擊“ 確定”按鈕。

第2步：從快速訪問欄中單擊您的PC。這通常是帶有顯示器的圖標，其名稱可以是“我的電腦”，“我的電腦”或“此電腦”或您命名的任何名稱。

第3步：導航到PC屏幕右上角的搜索框，然後鍵入“病毒名稱”，然後鍵入文件擴展名。如果您正在尋找惡意可執行文件，例如可能是“病毒名稱.exe”。完成此操作後，請留出空格並鍵入您認為惡意軟件已創建的文件名。以下是找到您的文件時的顯示方式：

3.使用高級防惡意殺毒軟件工具掃描惡意軟件和惡意程序並備份您的數據
4.嘗試恢復由Dharma .btc Files Virus加密的文件
勒索軟件感染和Dharma .btc文件病毒旨在使用加密算法加密您的文件，這可能很難解密。這就是為什麽我們建議了幾種可以幫助您繞過直接解密並嘗試恢復文件的替代方法。請記住，這些方法可能不是100％有效，但也可能在不同情況下幫助您一點或多少。

方法1：使用數據恢復軟件掃描驅動器的扇區。

方法2：嘗試殺毒軟件的解密器。

方法3：在密碼病毒通過網絡通過嗅探工具發送解密密鑰時查找解密密鑰。

解密文件的另一種方法是使用網絡嗅探器獲取加密密鑰，同時在系統上加密文件。網絡嗅探器是監視通過網絡傳輸的數據的程序和/或設備，例如其互聯網流量和互聯網數據包。如果在攻擊發生之前設置了嗅探器，則可能會獲得有關解密密鑰的信息。

.Brrr文件後綴勒索病毒數據恢復可以參照鏈接 新的Dharma家族成員

原文：https://blog.csdn.net/qq_38454442/article/details/83217733

.btc勒索病毒刪除+還原文件(Dharma家族新成員)