新變種中檢測到Dharma勒索病毒，這次將.btc副檔名附加到由其加密的檔案中。勒索病毒類似於Dharma的其他變體，旨在利用多種加密模式的組合，以便使受害者計算機上的檔案不再能夠開啟並顯示如下：Filename.id {ID-here}.[ [email protected]].btc。Dharma .btc病毒還留下了一個名為FILES ENCRYPTED.txt的贖金記錄檔案它包含有關如何支付高額贖金的詳細說明，以便將您的檔案恢復到正常的工作步驟

.btc檔案病毒 - 它是如何感染的

這個版本的Dharma勒索軟體可以通過多種方式執行。其中一種方法是擁有各種檔案型別，這些檔案型別實際上是惡意的，但偽裝成通過電子郵件傳送給受害者的合法檔案。最常被模仿的檔案型別如下：

• 來自信譽良好的網站的發票，如PayPal，eBay等。
• 來自似乎是受害者銀行的檔案。
• 線上訂單確認單。
• 收貨購買。
• 其他。

電子郵件本身往往很簡短，但令人信服並主要關注有問題的電子郵件附件

但是電子郵件並不是.btc Dharma病毒感染的唯一來源。惡意軟體作者可能會使用受感染的網站將感染檔案上傳為可執行型別的檔案，該檔案可作為合法程式提供，可由被誤導的使用者下載，使用者線上搜尋。這些型別的程式通常是破解，補丁，免費軟體應用程式的便攜版本，以及這些型別的其他迷你應用程式

Dharma .btc Ransomware - 惡意活動

當您的計算機被.btc Dharma勒索軟體病毒感染時，會在您不知情的情況下進行許多不同的活動，其中可能包括：

• 在PC上建立互斥鎖。
• 在Windows登錄檔編輯器中建立值條目。
• 刪除備份的資料庫和卷影副本。
• 更改設定，以便可以毫無問題地更改桌布，並且病毒具有管理許可權。
• 觸控Windows的系統檔案，這可能導致病毒獲得對Windows任務的更多許可權。

Dharma勒索軟體的主要惡意負載有以下引數：

SHA-256 0b928b308f9cb448d88ea0c4e50dc668baaecce80a3d5d2424c1092bb70e9d7e 
檔案大小92.5 KB

在您的計算機上丟棄.btc Dharma病毒的有效負載後，勒索軟體可能會建立和刪除模組檔案，這會導致其惡意活動。這些檔案可能位於以下Windows目錄中：

• %Roaming%
• %Windows%
• %AppData%
• %Local%
• %Temp%

此外，Dharma勒索軟體執行的惡意操作是在Windows的Run和RunOnce登錄檔子鍵中建立登錄檔值。這些子鍵位於以下Windows鍵中：

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \

當病毒想要設定在系統引導時自動執行的程式時，將使用這些子鍵。這些程式通常是加密檔案的病毒的惡意檔案，這可能是.btc Dharma勒索軟體的情況。

除此之外，Dharma .btc病毒還可以使用以下命令刪除受感染計算機上的卷影卷副本：

bcdedit / set bootstatuspolicy ignoreallfailures 
bcdedit / set recoveryenabled No
bcdedit / set {default} bootstatuspolicy ignoreallfailures 
bcdedit / set {default} recoveryenabled no 
vssadmin delete shadows / for = {volume} / oldest / all / shadow = {Shadow的ID} /Quiet

Dharma .btcRansomware - 加密過程

在加密受感染計算機上的檔案之前，Dharma勒索軟體首先掃描要加密的檔案，這些檔案被認為是最常用的檔案。這些檔案可能是以下副檔名的檔案：

“PNG .PSD .PSPIMAGE .TGA .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD檔案.DWG .DXF GIS檔案.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML。DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRFEncodedFiles .HQX .MIM .UUE .7Z .CBR .DEB .GZ .PKG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Files。 AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視訊檔案.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJR.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS。

在掃描要加密的檔案時，Dharma勒索軟體的.btc變體非常聰明，不加密以下Windows目錄中包含的檔案：

• %System32%
• %Temp%
• %System%
• %Windows%
• %Local%
• %Program Files%

要刪除Dharma .btc檔案病毒，請按照下列步驟操作：

1.以安全模式啟動PC以隔離和刪除Dharma .btc檔案病毒檔案和物件

第1步：開啟“ 開始”選單。

第2步：單擊電源按鈕，在按住“Shift”的同時單擊“ 重新啟動”。

第3步：重啟後，將出現帶有選項的藍色選單。從他們你應該選擇疑難解答。

第4步：您將看到“ 疑難解答”選單。從此選單中選擇“ 高階選項”。

第5步：出現“ 高階選項”選單後，單擊“ 啟動設定”。

第6步：從Startup Settings選單中，單擊Restart。

第7步：重啟後會出現一個選單。您可以通過按相應的數字選擇三個安全模式選項中的任何一個，機器將重新啟動。

第8步：修復PC上惡意軟體和PUP建立的登錄檔項。

2.在PC上查詢由Dharma .btc Files Virus建立的檔案

第1步：在鍵盤上按Windows + R並在“ 執行”文字框中編寫explorer.exe，然後單擊“ 確定”按鈕。

第2步：從快速訪問欄中單擊您的PC。這通常是帶有顯示器的圖示，其名稱可以是“我的電腦”，“我的電腦”或“此電腦”或您命名的任何名稱。

第3步：導航到PC螢幕右上角的搜尋框，然後鍵入“病毒名稱”，然後鍵入副檔名。如果您正在尋找惡意可執行檔案，例如可能是“病毒名稱.exe”。完成此操作後，請留出空格並鍵入您認為惡意軟體已建立的檔名。以下是找到您的檔案時的顯示方式：

3.使用高階防惡意防毒軟體工具掃描惡意軟體和惡意程式並備份您的資料

4.嘗試恢復由Dharma .btc Files Virus加密的檔案

勒索軟體感染和Dharma .btc檔案病毒旨在使用加密演算法加密您的檔案，這可能很難解密。這就是為什麼我們建議了幾種可以幫助您繞過直接解密並嘗試恢復檔案的替代方法。請記住，這些方法可能不是100％有效，但也可能在不同情況下幫助您一點或多少。

方法1：使用資料恢復軟體掃描驅動器的扇區。

方法2：嘗試防毒軟體的解密器。

方法3：在密碼病毒通過網路通過嗅探工具傳送解密金鑰時查詢解密金鑰。

解密檔案的另一種方法是使用網路嗅探器獲取加密金鑰，同時在系統上加密檔案。網路嗅探器是監視通過網路傳輸的資料的程式和/或裝置，例如其網際網路流量和網際網路資料包。如果在攻擊發生之前設定了嗅探器，則可能會獲得有關解密金鑰的資訊。

關注服務號，交流更多解密檔案方案和恢復方案：