Dharma勒索病毒已經證明了一個新的危險變體已經鬆動了。新的Dharma現在附加了.bgtx副檔名，它將其新增到加密檔案中並保留擴充套件格式，就像舊的.combo變體一樣 - Filename.id{ID-here}.[[email protected]] .bgtx。Dharma的新勒索病毒軟體變種旨在加密您計算機上的檔案，從而使其無法開啟，然後留下贖金票據，旨在勒索受害者支付贖金以獲取他們的檔案。

.bgtx勒索病毒Dharma - 感染方法

Dharma勒索軟體不是普通病毒，因此它不使用普通的感染方法。報告了檢測到Dharma惡意檔案的妥協的主要指標，它具有以下規範：

SHA-256：7e623dca8a26a45440c331e383ac6ce3783d5c1bd60b91ee91ce0cc5841633e2 

檔案大小：219.5 KB

該檔案可以通過不同的方法傳播，但主要嫌疑人將通過電子郵件進行復制。當騙子小心地偽裝一封包含惡意附件的電子郵件時，就會發生這種情況。通常，大多數附件都假裝是.PDF或.docx檔案，它們構成了非常重要的合法檔案，例如：

• 訂單拒絕詳情。

• 購×××

• 收到你可能買的東西。

• 來自您銀行的重要安全檔案。

• 來自你的老闆或同事的檔案。

這些電子郵件是經過精心製作的，因此它們似乎來自大公司，如FedEx，PayPal，LinkedIn或其他大公司。一些電子郵件假裝如果他們來自信譽良好的人或您的電子郵件聯絡人列表中的某人。

而且，。bgtx Dharma病毒

騙子還能夠提供存檔檔案，這些檔案包含偽裝成文件的檔案。開啟時，它們可以自動啟動與有效負載下載伺服器的連線，或直接在受害PC上提取Dharma的有效負載。

除此之外，Dharma勒索軟體的.bgtx變體也可以通過上傳到低信譽網站上的不同程式進行傳播，例如軟體破解，補丁，許可啟用器，載入器，免費軟體應用程式的便攜版本以及許多其他.exe檔案，所以要小心，並在下載前始終檢查檔案。

Dharma .bgtx 勒索病毒-惡意活動

Dharma勒索軟體病毒在很長一段時間內都處於活躍狀態，它們已經成為最廣泛使用的名稱之一。它們來自CrySiS勒索軟體系列，帶有第一個Dharma變體，自然帶有用於附加到檔案的.dharma檔案字尾。但是佛法制造商並沒有就此止步，現在已經發布了許多其他惡意軟體變種，其中大部分都是不可解密的。其中一些變體如下所示：

• Dharma .wallet變種。

• Dharma .arena變種。

• Dharma .cezar變種（用於製作此版本）。

• Dharma .arrow變種。

• Dharma .onion變種。

• Dharma .java變種。

• Dharma .block變種。

• Dharma .cobra變種。

• Dharma .bip變體（最新的.combo之前）

• Dharma v2變種（一個奇怪的變體）。

現在我們來到這一點，當前Dharma變體使用.bgtx副檔名，它將廣告加密檔案和新的電子郵件地址。

在發生.bgtx Dharma變種感染後，病毒在您的計算機上執行的惡意操作沒有太大變化：

• 建立幾個互斥鎖。

• 在Windows登錄檔編輯器中使用自定義資料建立值字串

• 刪除bakckup和卷影副本檔案。

• 安排任務執行appleiou檔案或啟動時的贖金記錄。

• 禁用還原點和系統恢復。

• 改變你的桌布。

• 修改sysem檔案（觸控）。

Dharma .bgtx勒索軟體也可能在常用目標Windows目錄中以不同的，通常是隨機的名稱刪除它的惡意檔案：

當Dharma勒索軟體留下了它的檔案時，惡意軟體還會通過在Windows登錄檔編輯器的Run和RunOnce子鍵中建立登錄檔值條目來干擾Windows登錄檔編輯器。他們有以下位置：

→HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

當Dharma .bgtx variant在這些子金鑰中建立值字串時，病毒會新增加密檔案的位置，因此查詢它們是查詢惡意軟體的惡意檔案所在位置的關鍵步驟。

Dharma .bgtx勒索軟體也可以在Windows命令提示符中以管理員身份執行指令碼。該指令碼旨在刪除Windows中的卷影卷副本並禁用任何備份。它可能包含以下命令：

 sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe” /C vssadmin.exe Delete Shadows /All /Quiet

Dharma .bgtx勒索軟體病毒 - 加密

當Dharma勒索軟體加密檔案時，病毒可能會使用高階加密標準，也稱為AES。密碼使用非對稱金鑰生成，該金鑰生成金鑰然後被遮蔽並且受害者無法讀取。該演算法是一個非常難以解密的演算法，因為它被歸類為Suite.B型別的密碼，由政府機構用來加密敏感檔案。

Dharma .bgtx勒索軟體的加密過程始於掃描病毒將加密的特定檔案型別。這些檔案型別包括常用檔案，例如具有以下副檔名的檔案：

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD檔案.DWG .DXF GIS檔案.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視訊檔案.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。

Dharma勒索軟體可能會跳過加密我們在下面提到的資料夾中的檔案，因為它們是Windows的系統資料夾，受害者仍然需要他或她的計算機來支付贖金：

• %Local%

• %Temp%

• %Windows%

• %System%

• %Program Files%

• %System32%

加密過程本身包含幾個發生的動作鏈。為了總結這些，Dharma只是建立了一個原始檔案的副本，它加密並新增.bgtx副檔名加上唯一的ID和騙子的電子郵件（[email protected] ）。Dharma勒索軟體然後刪除原始檔案，只留下加密檔案，如下圖所示：

從Mac上手動刪除Dharma .bgtx 勒索病毒

1.解除安裝Dharma .bgtx Ransomware並刪除相關檔案和物件

第1步：按⇧+⌘+ U鍵開啟Utilities。另一種方法是單擊“ 轉到 ”，然後單擊“ 工具 ”，像下面顯示的影象：

第2步：查詢活動監視器並雙擊它：

第3步：在活動監視器中查詢屬於或與Dharma .bgtx Ransomware相關的任何可疑程序：

要完全退出程序，請選擇“ 強制退出 ”選項。

第4步：點選“ 進入試”按鈕，但這次選擇的應用程式。其他方法是使用⇧+⌘+ A按鈕。

步驟5：在“應用程式”選單中，查詢任何可疑應用程式或名稱與Dharma .bgtx Ransomware類似或相同的應用程式。如果找到它，請右鍵單擊該應用程式並選擇“ 移至廢紙簍 ”。

步驟6：選擇Accounts，然後單擊Login Items首選項。然後，您的Mac將顯示您登入時自動啟動的專案列表。查詢與Dharma .bgtx Ransomware相同或類似的任何可疑應用程式。檢查要停止的應用程式自動執行，然後選擇減號（“ - ”）圖示將其隱藏。

步驟7：按照以下子步驟手動刪除可能與此威脅相關的所有遺留檔案：

1.轉到Finder。
2.在搜尋欄中，鍵入要刪除的應用程式的名稱。
3.在搜尋欄上方將兩個下拉選單更改為“系統檔案”和“包含”，以便您可以檢視與要刪除的應用程式關聯的所有檔案。請記住，某些檔案可能與應用程式無關，因此請務必小心刪除哪些檔案。
4.如果所有檔案都相關，請按住⌘+ A按鈕選擇它們，然後將它們驅動到“廢紙簍”。

2.從Mac瀏覽器中刪除Dharma .bgtx與勒索軟體相關的擴充套件程式

• 啟動Google Chrome並開啟下拉選單

• 將游標移到“ 工具 ”上，然後從擴充套件選單中選擇“ 擴充套件 ”



• 從開啟的“ 擴充套件 ”選單中找到附加元件，然後單擊右側的垃圾箱圖示。




• 之後擴充套件被刪除，請重新啟動谷歌瀏覽器從紅色的“關閉它X在右上角的”，並再次啟動它

從Mac上自動刪除Dharma .bgtx 勒索病毒

當您因不需要的指令碼和程式（例如Dharma .bgtx Ransomware）而在Mac上遇到問題時，推薦的消除威脅的方法是使用反惡意軟體程式。Combo Cleaner提供高階安全功能以及其他模組，可以提高Mac的安全性並在將來保護它。

.gamma勒索病毒刪除+檔案恢復(刪除+恢復指南)可參照連結

關注服務號，瞭解交流更多解密檔案方案和恢復方案：