Αφαίρεση ιού Dharma (Εγχειριδίου Οδηγιών Αφαίρεσης) - Αυγ 2017 ενημέρωση

Οδηγός Απεγκατάστασης του ιού Dharma

Τι είναι το Ιός Dharma ransomware?

Έίδαμε φως στο τούνελ σχετικά με τον ιό Dharma ransomware: μέρος των κλειδιών αποκρυπτογράφησης (decryption keys) του ιού διέρρευσαν σε Internet forums

Dharma ransomware virus

Ο ιός Dharma είναι ένας πολύ επικίνδυνος ιός ransomware ο οποίος πρωτο-απασχόλησε τους ειδικούς σε θέματα malware το Νοέμβριο του 2016 . Στις αρχές, κυκλοφορούσαν πολλές φήμες σχετικά με τη συγκεκριμένη κυβερνο-απειλή. Υπήρχαν αντικρουόμενες απόψεις μεταξύ των ειδικών για το εάν ο συγκεκριμένος ιός ransomware είναι μια εντελώς καινούρια δημιουργία ή αποτελεί κάποια νεότερη και αναβαθμισμένη έκδοση / παραλλαγή κάποιας μεγάλης οικογένειας ιών crypto ransomware.

Είναι τόσο επικίνδυνος όσο ο ιός Locky virus ? Από τη στιγμή που πρωτο-κυκλοφόρησε ο ιός Dharma ransomware, οι ειδικοί έχουν βρει πολλές ομοιότητες με τον επικίνδυνο ιό CrySiS ransomware και ότι η αρχική έκδοση του ιού μπορεί να αποκρυπτογραφηθεί. Άλλο ένα σημαντικό στοιχείο που είναι κοινό με τον ιό CrySiS malware είναι ότι κάποιος (πιθανώς κάποιος που συμμετείχε στο σχεδιασμό και το development του συγκεκριμένου ιού ransomware) δημοσιοποίησε μεγάλο μέρος των κλειδιών αποκρυπτογράφησης του ιού Dharma (Dharma virus decryption keys) σε Internet forum.

Το αρχικό εργαλείο αποκρυπτογράφησης του ιού Dharma (Dharma virus decryption tool) ενημερώθηκε και έτσι οι χρήστες-θύματα μπορούν να αποκρυπτογραφήσουν τα αρχεία τους που κρυπτογραφήθηκαν από τον ιό και να ανακτήσουν την πρόσβασή τους σε αυτά.

Η πιο διαδεδομένη έκδοση του ιού Dharma ransomware χρησιμοποιεί το amagnus@india.com για να ενημερώνει τους χρήστες-θύματα ότι τα αρχεία τους έχουν κρυπτογραφηθεί και ότι πρέπει να πληρώσουν χρηματικό ποσόν ως λύτρα για την απελευθέρωση των αρχείων τους. Αυτές οι πληροφορίες παρέχονται επίσης στο info.hta ή σε κάποιο σημείωμα λύτρων (ransom note) με διαφορετικό όνομα. Σύμφωνα με πρόσφατες αναφορές, οι τελευταίες εκδόσεις του Dharma προσθέτουν τις εξής κακόβουλες επεκτάσεις στα αρχεία που κρυπτογραφούν: .dharma, .wallet, .zzzzz.

Όταν πρωτο-εμφανίστηκε ο ιός Dharma, οι ειδικοί σε θέματα διαδικτυακής ασφάλειας συστημάτων δε γνώριζαν και πολλά πράγματα για τη ταυτότητά του, μάλιστα αρκετοί υποστήριζαν ότι πρόκειται για ένα παντελώς νέο ιό (new generation viruses). Μετά από κάποιο διάστημα, έγινε ξεκάθαρο ότι οι developers του ιού σκόπιμα δημιούργησαν ένα 'ομιχλώδες τοπίο' γύρω από τη ταυτότητα του ιού, για αυτό άλλωστε απέφυγαν σκόπιμα να ακολουθήσουν τα κλασικά μοτίβα που χρησιμοποιούν οι περισσότεροι δημιουργοί ιών ransomware.

Για παράδειγμα, ο ιός δεν εμφάνιζε στον χρήστη-θύμα σημείωμα λύτρων ή άλλου είδους ενημερωτικά αρχεία όταν ολοκλήρωνε την κρυπτογράφηση του συστήματος-στόχου. Έτσι, ο χρήστης-θύμα δε γνώριζε την ύπαρξη του ιού, εκτός κι αν κατά τύχη έπεφτε σε κάποιο από τα κρυπτογραφημένα αρχεία.

Το αξιοπερίεργο είναι ότι το Νοέμβριο, ο ιός κατάφερνε να μη γίνεται αντιληπτός από κανένα λογισμικό ασφαλείας antivirus, γεγονός που έκανε υπερβολικά δύσκολη και περίπλοκη την ολοκληρωτική αφαίρεση του ιού Dharma. Ευτυχώς, έκτοτε τα λογισμικά ασφαλείας έχουν ενημερωθεί και αναβαθμιστεί σημαντικά.

Για περίπλοκες περιπτώσεις, όπως η ολοκληρωτική αφαίρεση του ιού Dharma, προτείνουμε την εγκατάσταση και χρήση του εξαίρετου και πολυδοκιμασμένου λογισμικού ασφαλείας FortectIntego. Το συγκεκριμένο λογισμικό εγγυάται τον εντοπισμό και την ολοκληρωτική αφαίρεση του ιού, αλλά και όλων των βοηθητικών αρχείων του που τυχόν βρίσκονται διάσπαρτα αποθηκευμένα σε διάφορα παρασκηνιακά σημεία του συστήματος.

Ο ιός Dharma ransomware!!! Προσοχή !!! Τα αρχεία σου έχουν κρυπτογραφηθεί!!! είναι ο τίτλος του σημειώματος λύτρων που εμφανίζει ο ιός Dharma ransomware

Αξίζει να σημειωθεί ότι οι τελευταίες εκδόσεις του ιού Dharma ransomware πλέον εμφανίζουν το εξής απλό σημείωμα λύτρων:

ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com

Όπως μπορείς να διαπιστώσεις από το παραπάνω σημείωμα λύτρων, οι χρήστες-θύματα καλούνται να επικοινωνήσουν με τους κυβερνο-εγκληματίες μέσω της email διεύθυνσης ώστε να λάβουν όλες τις οδηγίες για την ανάκτηση των κρυπτογραφημένων αρχείων τους, αφού βεβαίως πληρώσουν τα ζητούμενα λύτρα απελευθέρωσης.

Εκτός της εμφάνισης του σημειώματος λύτρων, ο ιός κάνει αισθητή την παρουσία του με τις κακόβουλες επεκτάσεις του. Έτσι, κάθε κρυπτογραφημένο αρχείο αποκτάει .dharma, .wallet ή .zzzzz επέκταση που προσκολλάται στο τέλος του string του αρχείου. Έτσι, για παράδειγμα, εάν το αρχείο είναι το picture.jpg, όταν μολυνθεί και κρυπτογραφηθεί θα γίνει picture.jpg[email_address].dharma.

Προκαλεί εντύπωση το γεγονός ότι οι κυβερνο-εγκληματίες δε χρησιμοποιούν μια μόνο email διεύθυνση, αλλά διάφορες. Έτσι, στην περίπτωση που το σύστημα του υπολογιστή σου μολυνθεί από τον ιό, η email διεύθυνση επικοινωνίας μπορεί να είναι bitcoin143@india.com, worm01@india.com (αυτός ο ιός ρίχνει worm.exe αρχείο στο σύστημα), oron@india.com, ή κάποια άλλη email διεύθυνση τύπου @india.com.

Φυσικά, εάν βρεθείς σε αυτή τη δύσκολη θέση, σε συμβουλεύουμε να ΜΗΝ ακολουθήσεις τις οδηγίες των κυβερνο-εγκληματιών. Μη ξεχνάς ότι πρόκειται για απατεώνες, δε μπορείς να βασίζεσαι στα λεγόμενά τους. Είναι πολύ πιθανό να πληρώσεις τα λύτρα και εν τέλει να μην καταφέρεις να ανακτήσεις την πρόσβαση στα κρυπτογραφημένα αρχεία σου. Επίσης, κινδυνεύεις άμεσα να εκθέσεις περαιτέρω την ασφάλεια του συστήματος και των προσωπικών σου δεδομένων.

Στη τελική, θα πρέπει να το πάρεις και εγωιστικά. Αυτοί οι άνθρωποι ευθύνονται για τις δυσκολίες που περνάς, μη τους στηρίξεις οικονομικά, καταπολέμησέ τους. Ο καλύτερος τρόπος είναι να μην πληρώσεις τα λύτρα και να αφαιρέσεις άμεσα και ολοκληρωτικά τον ιό Dharma.

Όσον αφορά την ανάκτηση των κρυπτογραφημένων αρχείων, μπορείς να τα ανακτήσεις είτε από κάποια εξωτερική μονάδα αποθήκευσης όπου είχες προλάβει να τα κάνεις backup ή να χρησιμοποιήσεις το ενημερωμένο εργαλείο ανάκτησης κρυπτογραφημένων δεδομένων, Rakhni.

Ωστόσο, θα θέλαμε να συμπεριλάβουμε στις μεθόδους ανάκτησης και μια μαρτυρία ενός εκ των χρηστών / επισκεπτών του ioys.gr. Σύμφωνα με τον χρήστη, υπάρχει και άλλη μέθοδος αποκρυπτογράφησης των κρυπτογραφημένων αρχείων από τον ιό Dharma και αφαίρεσης της κακόβουλης επέκτασης αρχείων .[oron@india.com].dharma, και μάλιστα δωρεάν. Σύμφωνα με τη μαρτυρία του, ο χρήστης υποστηρίζει ότι κατάφερε να ανακτήσει τα κρυπτογραφημένα αρχεία του χρησιμοποιώντας το πρόγραμμα 7-Zip. Για περισσότερες πληροφορίες, τσέκαρε της μεθόδους ανάκτησης κρυπτογραφημένων αρχείων που θα βρεις πιο κάτω.

Εκδόσεις του ιού Dharma ransomware:

Oron@india.com ransomware virus. Όπως είναι αναμενόμενο, οι developers ιών ransomware εξελίσσουν και αναβαθμίζουν συνεχώς τις κακόβουλες δημιουργίες τους. Φυσικά, ο ιός Dharma ransomware δεν αποτελεί εξαίρεση. Έχει αναβαθμιστεί και αλλάξει σημαντικά από την πρώτη φορά που κυκλοφόρησε στο διαδίκτυο. Μια από τις εκδόσεις του είναι ο ιός oron@india.com ransomware.

Ο ιός ονομάστηκε έτσι από τις κακόβουλες επεκτάσεις που αποκτούν τα αρχεία που κρυπτογραφεί. Έτσι, το σύστημα-στόχος που θα μολυνθεί από τον ιό oron@india.com, τα κρυπτογραφημένα αρχεία του θα αποκτήσουν την κακόβουλη επέκταση .[oron@india.com].dharma. Η email διεύθυνση που εμπεριέχεται στην κακόβουλη επέκταση αποτελεί και το μέσον επικοινωνίας με τους κυβερνο-εγκληματίες.

Μέσω αυτής της email διεύθυνσης, οι χρήστες-θύματα ενημερώνονται για το πως να πληρώσουν τα λύτρα ώστε να ανακτήσουν και πάλι πρόσβαση στα κρυπτογραφημένα αρχεία τους. Οι hackers ζητούν να πληρωθούν σε Bitcoins σε συγκεκριμένο Bitcoin λογαριασμό ώστε να παραδώσουν το 'πολύτιμο' κλειδί αποκρυπτογράφησης (decryption key). Όσον αφορά τη συγκεκριμένη έκδοση του ιού, δε χρειάζεται να πληρώσεις τα λύτρα, γιατί μπορείς να αποκρυπτογραφήσεις τα αρχεία σου χρησιμοποιώντας το Dharma Decrypter.

Zzzzz ransomware virus. Αποτελεί ακόμα μια έκδοση του ιού Dharma και μοιράζεται τις κακόβουλες επεκτάσεις του με τον ιό Locky. Δεν έχει γίνει ακόμα γνωστό εάν οι zzzzz developers 'δανείστηκαν' την ιδέα του Locky ή εάν η χρήση της ίδιας κακόβουλης επέκτασης αποτελεί καθαρή σύμπτωση.

Παρά τις όποιες πιθανότητες, είναι ξεκάθαρο ότι οι δυο ιοί δε σχετίζονται μεταξύ τους, και μάλιστα βασίζονται σε διαφορετικά codes. Παρόλα αυτά, δε σημαίνει ότι ο ιός zzzzz virus είναι λιγότερο επικίνδυνος από τον ιό Locky virus. Κρυπτογραφεί πολύ καλά τα αρχεία μπλοκάροντας πλήρως την πρόσβαση του χρήστη-θύματος σε αυτά και ζητάει χρηματικό ποσόν ως λύτρα σε αντάλαγμα για το 'πολύτιμο' κλειδί αποκρυπτογράφησης.

Μπορείς να χρησιμοποιήσεις το Dharma Decrypter και να προσπαθήσεις να ανακτήσεις τα κρυπτογραφημένα αρχεία από τον ιό zzzzz, ωστόσο το σημαντικότερο είναι να προβείς άμεσα σε ολοκληρωτική αφαίρεση του ιού, πριν αυτός προκαλέσει μεγαλύτερη ζημιά στο σύστημα του υπολογιστή σου.

Wallet ransomware virus. Ο ιός Wallet αποτελεί τη τελευταία έκδοση του ιού Dharma. Τα κρυπτογραφημένα αρχεία αποκτούν την κακόβουλη .wallet επέκταση. Ο ιός πιέζει τους χρήστες-θύματα να επικοινωνήσουν άμεσα μαζί τους μέσω email (amagnus@india.com) ώστε να λάβουν οδηγίες για το πως να πληρώσουν τα λύτρα και να λάβουν το 'πολύτιμο' κλειδί αποκρυπτογράφησης.

Μάλιστα, για να σιγουρευτούν οι hackers ότι οι χρήστες-θύματα θα καταλάβουν ότι ο ιός έχει μολύνει το σύστημα του υπολογιστή τους, αντικαθιστούν την εικόνα desktop με το σημείωμα λύτρων. Για να δημιουργήσουν μεγαλύτερη πίεση και τρόμο στους χρήστες-θύματα, τους ζητούν να πληρώσουν τα λύτρα εντός 72 ωρών, γιατί διαφορετικά θα καταστρέψουν το μοναδικό κλειδί αποκρυπτογράφησης και έτσι οι χρήστες-θύματα θα χάσουν μια για πάντα την πρόσβαση στα κρυπτογραφημένα αρχεία τους. Εμείς πάλι σε συμβουλεύουμε να μην πανικοβάλλεσαι.

Πήγαινε στο τέλος του άρθρου και τσέκαρε τις εναλλακτικές μεθόδους ανάκτησης κρυπτογραφημένων δεδομένων που συνιστά η ομάδα των ειδικών μας.

Πώς εξαπλώνεται διαδικτυακά ο ιός Dharma ransomware?

Οι developers του ιού Dharma ransomware βασίζουν σε μεγάλο βαθμό τη διαδικτυακή εξάπλωση του ιού στο phishing , κυρίως μέσω μολυσμένων email μηνυμάτων. Οι scammers εκμεταλλεύονται στο έπακρον κακόβουλες spam καμπάνιες, όπου ο ιός κρύβεται σε επισυνάψεις spam emails.

Για να ελαχιστοποιήσεις τις πιθανότητες να δεις κάποια στιγμή το σύστημα του υπολογιστή σου να μολύνεται και τα πολύτιμα αρχεία σου να κρυπτογραφούνται από τον ιό Dharma ή άλλους ιούς ransomware, είναι πολύ σημαντικό να δείχνεις ιδιαίτερη προσοχή και επιφυλακτικότητα στα emails που ανοίγεις, πόσο μάλλον αν το περιεχόμενό τους είναι 'ύποπτο' ή έχουν σταλθεί από άγνωστο αποστολέα ή διάφορες διάσημες και δημοφιλείς εταιρείες, υπηρεσίες, ή κρατικές αρχές (πόσο μάλλον αν δεν είχες καμιά σχέση μαζί τους).

Το πιθανότερο να πρόκειται για ψευδές / παραπλανητικό emai. Σε αυτές τις περιπτώσεις, συμβουλεύουμε να προβείς σε επιβεβαιωτική διασταύρωση με κάποιον άλλο τρόπο, όπως πχ. να επικοινωνήσεις απευθείας μέσω επίσημης οδού επικοινωνίας του φερόμενου ως αποστολέα, ή να διαγράψεις άμεσα το email, αφού πρώτα το χαρακτηρίσεις ως spam. Σε καμιά περίπτωση ΜΗΝ κατεβάσεις τυχόν επισυνάψεις βρεις εκεί!

Σε διαφορετική περίπτωση, θα εκθέσεις σε πολύ μεγάλο κίνδυνο την ασφάλεια του συστήματος, αλλά και των αρχείων και προσωπικών σου δεδομένων. Τέτοιες ευκαιρίες ψάχνουν χιλιάδες επικίνδυνα κακόβουλα προγράμματα, όπως πχ. ο ιός Dharma, να διεισδύσουν σε συστήματα και να ενεργοποιήσουν το κακόβουλο, και συνήθως πολύ καταστροφικό, φορτίο τους.

Τρόποι διαγραφής του ιού Dharma malware από το σύστημα

Σε δύσκολες και περίπλοκες περιπτώσεις αφαίρεσης ιών ransomware, όπως η ολοκληρωτική αφαίρεση του ιού Dharma virus, προτείνουμε την άμεση και αναλυτική σάρωση του συστήματος χρησιμοποιώντας ένα πλήρως ενημερωμένο και αξιόπιστο λογισμικό ασφαλείας anti-malware.

Ωστόσο, όπως αναφέραμε πιο πάνω στο άρθρο, η ιδιαιτερότητα του συγκεκριμένου ιού είναι ότι έχει τη δυνατότητα, αλλά και τη τάση, να κρύβεται πολύ καλά και να περνάει απαρατήρητο ακόμα και από τα καλύτερα λογισμικά ασφαλείας. Για αυτό τον λόγο, δε μπορεί να γίνει προσπάθεια απευθείας αφαίρεσης του ιού Dharma. Θα πρέπει να γίνουν πρώτα ορισμένα πράγματα πριν τη σάρωση του συστήματος. Θα τα βρεις παρακάτω, αναλυτικά και βήμα προς βήμα. Μόλις ολοκληρωθούν, επιβάλλεται η σάρωση συστήματος!

Προσφορά
Κάντε το τώρα
Λήψη
Fortect Εγγύηση
Ικανοποίησης
Λήψη
Intego Εγγύηση
Ικανοποίησης
Συμβατό με Microsoft Windows Συμβατό με macOS
Τι γίνεται σε περίπτωση αποτυχίας?
Εάν δεν κατάφερες να αφαιρέσεις τη ζημιά που προκάλεσε ο ιός χρησιμοποιώντας το  Fortect Intego, κάνε ερώτηση στην ομάδα υποστήριξης παρέχοντας όσο το δυνατόν περισσότερες πληροφορίες και λεπτομέρειες. 
Το  Fortect Intego έχει δωρεάν scanner περιορισμένων δυνατοτήτων. Το scanner του Fortect Intego είναι σαφώς καλύτερο και με περισσότερες δυνατότητες όταν αποκτήσεις επί πληρωμή την πλήρη έκδοση. Όταν ο δωρεάν scanner εντοπίσει θέματα, μπορείς να τα επιδιορθώσεις με δωρεάν χειροκίνητη επιδιόρθωση ή να τα επιδιορθώσεις αυτόματα, σίγουρα, και γρήγορα, αγοράζοντας την πλήρη έκδοση.
Εναλλακτικά Προγράμματα
Το κάθε λογισμικό έχει διαφορετικούς σκοπούς και διαφορετικές δυνατότητες. Έτσι, εάν δεν κατάφερες να διορθώσεις τα αλλοιωμένα αρχεία με το Fortect, τότε συνιστούμε να δοκιμάσεις το SpyHunter 5.
Εναλλακτικά Προγράμματα
Το κάθε λογισμικό έχει διαφορετικούς σκοπούς και διαφορετικές δυνατότητες. Έτσι, εάν δεν κατάφερες να διορθώσεις τα αλλοιωμένα αρχεία με το Intego, τότε συνιστούμε να δοκιμάσεις το Combo Cleaner.

Οδηγός Χειροκίνητης Αφαίρεσης του ιού Dharma

Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία

Σημαντικό! →
Ο οδηγός χειροκίνητης αφαίρεσης ενδέχεται να φανεί πολύ περίπλοκος για χρήστες που δεν έχουν προηγμένες γνώσεις πληροφορικής. Απαιτείται προηγμένη γνώση πληροφορικής ώστε να ακολουθηθούν ορθώς όλα τα προβλεπομένα βήματα που αναγράφονται στον οδηγό, ενώ ενδέχεται να απαιτηθούν και αρκετές ώρες για την επιτυχή ολοκλήρωση (εάν σημαντικά αρχεία συστήματος αφαιρεθούν ή καταστραφούν, αυτό μπορεί να προκαλέσει σημαντικές δυσλειτουργίες ή πλήρη κατάρρευση των Windows). Δεδομένων των παραπάνω, συνιστούμε να προτιμηθεί η αυτόματη αφαίρεση.

Βήμα 1. Πρόσβαση σε Ασφαλή Λειτουργία με Δικτύωση (Safe Mode with Networking)

Για καλύτερα αποτελέσματα, συνιστούμε να γίνει η χειροκίνητη αφαίρεση κακόβουλων λογισμικών τύπου malware σε περιβάλλον Ασφαλούς Λειτουργίας. 

Windows 7 / Vista / XP

  1. Κλικ Έναρξη (Start) > Τερματισμός Λειτουργίας (Shutdown) > Επανεκκίνηση (Restart) > OK.
  2. Όταν ο υπολογιστής γίνει και πάλι ενεργός, άρχισε να πατάς το κουμπί F8 (εάν αυτό δε δουλέψει, τότε δοκίμασε F2, F12, Del, κοκ. – εξαρτάται από το μοντέλο της μητρικής) πολλές φορές έως ότου εμφανιστεί το παράθυρο Προηγμένες Επιλογές Εκκίνησης (Advanced Boot Options).
  3. Επίλεξε από τη λίστα Ασφαλής Λειτουργία με Δικτύωση (Safe Mode with Networking).Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία

Windows 10 / Windows 8

  1. Δεξί κλικ στο κουμπί Έναρξης (Start) και επίλεξε Ρυθμίσεις (Settings).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  2. Σκρόλαρε προς τα κάτω και επίλεξε Ενημέρωση & Ασφάλεια (Update & Security).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  3. Στην αριστερή πλευρά, επίλεξε Αποκατάσταση (Recovery).
  4. Τώρα σκρόλαρε κάτω έως ότου βρεις την ενότητα Εκκίνηση για Προχωρημένους (Advanced Startup).
  5. Κλικ Άμεση Επανεκκίνηση (Restart now).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  6. Επίλεξε Αντιμετώπιση Προβλημάτων (Troubleshoot).Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  7. Πήγαινε στις επιλογές για Προχωρημένους (Advanced).Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  8. Επίλεξε Ρυθμίσεις Εκκίνησης (Startup Settings).Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  9. Πάτησε Επανεκκίνηση (Restart).
  10. Τώρα πάτησε 5 ή κλικ 5) Ασφαλής Λειτουργία με Δικτύωση (Enable Safe Mode with Networking).Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία

Βήμα 2. Τερμάτισε ύποπτες διεργασίες

Το Windows Task Manager (Διαχείριση Εργασιών) είναι ένα χρήσιμο εργαλείο που εμφανίζει όλες τις διεργασίες που τρέχουν στο παρασκήνιο. Εάν κάποιο κακόβουλο λογισμικό malware τρέχει μια διεργασία, πρέπει να την εντοπίσεις και να την τερματίσεις:

  1. Πάτησε Ctrl + Shift + Esc για να ανοίξει το Windows Task Manager (Διαχείριση Εργασιών).
  2. Κλικ Περισσότερες Λεπτομέρειες (More details).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  3. Σκρόλαρε κάτω στην ενότητα Διεργασίες Παρασκηνίου (Background processes), ψάξε για ύποπτες διεργασίες.
  4. Δεξί κλικ Άνοιγμα τοποθεσίας αρχείου (Open file location).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  5. Πήγαινε πίσω στη διεργασία και δεξί κλικ Τέλος Εργασίας (End Task).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  6. Διέγραψε τα περιεχόμενα του κακόβουλου φακέλου.

Βήμα 3. Τσέκαρε την Εκκίνηση Προγράμματος

  1. Πάτησε Ctrl + Shift + Esc για να ανοίξει το Windows Task Manager (Διαχείριση Εργασιών).
  2. Πήγαινε στην καρτέλα Εκκίνηση (Startup).
  3. Δεξί κλικ στο ύποπτο πρόγραμμα και επίλεξε Απενεργοποίηση (Disable).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία

Βήμα 4. Διαγραφή αρχείων ιού

Τα αρχεία που σχετίζονται με κακόβουλα λογισμικά malware μπορεί να βρεθούν σε διάφορες τοποθεσίες εντός του υπολογιστή. Αυτές οι οδηγίες θα σε βοηθήσουν να τα εντοπίσεις:

  1. Γράψε Disk Cleanup στη μπάρα αναζήτησης των Windows και πάτησε Enter.
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  2. Επίλεξε τον drive που επιθυμείς να καθαρίσεις (C: είναι ο κύριος drive από προεπιλογή και είναι πολύ πιθανό να είναι αυτός όπου κρύβονται τα κακόβουλα αρχεία).
  3. Σκρόλαρε τη λίστα Αρχεία για Διαγραφή (Files to delete) και επίλεξε τα εξής:

    Temporary Internet Files
    Downloads
    Recycle Bin
    Temporary files

  4. Επίλεξε Εκκαθάριση αρχείων συστήματος (Clean up system files).
    Ransomware: Χειροκίνητη αφαίρεση ransomware σε Ασφαλή Λειτουργία
  5. Μπορείς επίσης να ψάξεις για άλλα κακόβουλα αρχεία που μπορεί να κρύβονται στους εξής φακέλους (γράψε τα εξής στη μπάρα Αναζήτησης των Windows και πάτησε Enter):

    %AppData%
    %LocalAppData%
    %ProgramData%
    %WinDir%

Μόλις τελειώσεις, προχώρησε σε επανεκκίνηση Η/Υ σε κανονική λειτουργία.

Αφαίρεση Dharma χρησιμοποιώντας System Restore

  • Βήμα 1: Reboot υπολογιστή σε Safe Mode with Command Prompt
    Windows 7 / Vista / XP
    1. Click Start Shutdown Restart OK.
    2. Όταν ο υπολογιστής σας γίνει και πάλι λειτουργικό, αρχίστε να πατάτε το F8 πολλές φορές έως ότου εμφανιστεί το παράθυρο Advanced Boot Options
    3. Επιλέξτε Command Prompt από την λίστα Επιλέξτε 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Πατήστε το κουμπί Power στο login screen Windows. Κατόπιν, πατήστε και κρατήστε πατημένο το Shift, και click Restart .
    2. Τώρα, επιλέξτε Troubleshoot Advanced options Startup Settings και τέλος πατήστε Restart.
    3. Με το που ο υπολογιστής σας γίνει και πάλι λειτουργικός, επιλέξτε το Enable Safe Mode with Command Prompt στο παράθυρο Startup Settings. Επιλέξτε 'Enable Safe Mode with Command Prompt'
  • Βήμα 2: Επαναφέρετε τα αρχεία και ρυθμίσεις του συστήματος
    1. Μόλις εμφανιστεί το παράθυρο Command Prompt, εισάγετε cd restore και click Enter. Εισάγετε 'cd restore' χωρίς εισαγωγικά και πατήστε 'Enter'
    2. Πληκτρολογήστε rstrui.exe και πατήστε ξανά Enter . Εισάγετε 'rstrui.exe' χωρίς εισαγωγικά και πατήστε 'Enter'
    3. Όταν εμφανιστεί νέο παράθυρο, click Next κι επιλέξτε το σημείο επαναφοράς πριν τη διείσδυση του Dharma. Κατόπιν, click Next. Όταν εμφανιστεί το παράθυρο 'System Restore', επιλέξτε   'Next' Επιλέξτε το σημείο επαναφοράς και click 'Next'
    4. Μετά, click Yes για να ξεκινήσει η επαναφορά του συστήματος. Click 'Yes' και ξεκινήστε την επαναφορά συστήματος
    Μόλις επαναφέρεις το σύστημα σε παλαιότερη ημερομηνία, θα πρέπει να κατεβάσεις και να σκανάρεις το σύστημα του υπολογιστή με FortectIntego έτσι ώστε να βεβαιωθείς ότι η αφαίρεση Dharma έχει ολοκληρωθεί με επιτυχία.

Μπόνους: Ανάκτηση δεδομένων

Ο συγκεκριμένος οδηγός έχει δημιουργηθεί για να σε βοηθήσει να αφαιρέσεις ολοκληρωτικά Dharma από τον υπολογιστή σου. Για να ανακτήσεις τα κρυπτογραφημένα αρχεία σου, συνιστούμε να ακολουθήσεις προσεκτικά τις οδηγίες που ετοίμασαν οι ioys.gr ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων.

Εάν τα αρχεία σου έχουν κρυπτογραφηθεί από Dharma, τότε μπορεί να χρησιμοποιήσεις αρκετές μεθόδους για την επαναφορά τους:

Χρήση του Data Recovery Pro για ανάκτηση κρυπτογραφημένων αρχείων από τον ιό Dharma ransomware

Το Data Recovery Pro είναι ένα λογισμικό που μπορεί να βοηθήσει σημαντικά αυτούς που δε θέλουν να χάσουν πολύ χρόνο με τη χειροκίνητη ανάκτηση των κρυπτογραφημένων αρχείων τους. Είναι ένα πλήρως αυτοματοποιημένο εργαλείο. Αρκεί να ακολουθήσεις τις παρακάτω οδηγίες βήμα προς βήμα, να αράξεις, και να περιμένεις τα αποτελέσματα. 

  • Λήψη Data Recovery Pro;
  • Ακολούθησε τα βήματα του Data Recovery Setup και εγκατάστησε το πρόγραμμα στον υπολογιστή σου
  • Κατόπιν, άνοιξέ το και προχώρα σε σάρωση συστήματος για τον εντοπισμό κρυπτογραφημένων αρχείων από τον ιό Dharma ransomware
  • Προχώρα σε επαναφορά τους.

Χρήση της λειτουργίας Windows Previous Versions για ανάκτηση κρυπτογραφημένων αρχείων από τον ιό Dharma

Η λειτουργία Windows Previous Versions αποτελεί ακόμα μια εναλλακτική μέθοδο ανάκτησης κρυπτογραφημένων αρχείων. Βεβαίως, για να έχει αποτελέσματα η συγκεκριμένη επιλογή, θα πρέπει να ήταν ενεργοποιημένη η λειτουργία Ανάκτησης Συστήματος (System Restore) πριν την επίθεση του ιού. Αν ήταν, μπορείς να ακολουθήσεις προσεκτικά τις παρακάτω οδηγίες.

  • Επέλεξε ένα κρυπτογραφημένο αρχείο που θες να επαναφέρεις και κάνε δεξί click πάνω του
  • Επέλεξε “Properties” και πήγαινε στην καρτέλα “Previous versions”
  • Εδώ, τσέκαρε όλες τις διαθέσιμες copies του αρχείου σε “Folder versions”. Θα πρέπει να επιλέξεις την έκδοση που επιθυμείς να ανακτήσεις και click “Restore”.

Χρήση του ShadowExplorer για ανάκτηση κρυπτογραφημένων αρχείων

Τέλος, και το ShadowExplorer μπορεί να χρησιμοποιηθεί στην προσπάθειά σου για την ανάκτηση των κρυπτογραφημένων αρχείων σου. Το ShadowExplorer εξάγει δεδομένα από Volume Shadow Copies τα οποία συνήθως αποθηκεύονται στο σύστημα. Στην περίπτωση που δεν έχουν πειραχθεί, μπορείς να ακολουθήσεις τις παρακάτω οδηγίες για την προσπάθεια ανάκτησης των κρυπτογραφημένων δεδομένων.

  • Λήψη Shadow Explorer (http://shadowexplorer.com/)
  • Ακολούθησε προσεκτικά το Setup Wizard του Shadow Explorer και εγκατάστησε την εφαρμογή στον υπολογιστή σου
  • Τρέξε το πρόγραμμα, άνοιξε το μενού του στην πάνω αριστερή γωνία, και επέλεξε το δίσκο με τα κρυπτογραφημένα αρχεία. Έλεγξε τους φακέλους που βρίσκονται εκεί
  • Κάνε δεξί click στον φάκελο που επιθυμείς να επαναφέρεις κι επέλεξε “Export”. Μπορείς επίσης να επιλέξεις που επιθυμείς να τον αποθηκεύσεις.

ΣΗΜΑΝΤΙΚΟ. Οι πιο πρόσφατες επιλογές ανάκτησης δεδομένων που έχει κρυπτογραφήσει ο ιός Dharma

Όπως αναφέραμε νωρίτερα, κάποιος διέρρευσε στο διαδίκτυο μεγάλος μέρος των κλειδιών αποκρυπτογράφησης του ιού Dharma decryption keys. Έτσι, ο αποκρυπτογράφος Rakhni decryptor της Kaspersky έχει ήδη ενημερωθεί επιτυχώς. Προς το παρόν, γνωρίζουμε ότι τα κλειδιά αποκρυπτογράφησης που διέρρευσαν ανήκουν στην έκδοση του ιού Dharma που προσθέτει κακόβουλες επεκτάσεις .dharma στα αρχεία που κρυπτογραφεί. Ωστόσο, δε χάνεις τίποτα να δοκιμάσεις το decrypter της Kaspersky Lab και σε περιπτώσεις άλλων εκδόσεων. Μπορείς να το κατεβάσεις, εδώ..

Στην περίπτωση που ο decryptor αποτύχει να αποκρυπτογραφήσει τα αρχεία με κακόβουλη .dharma επέκταση: Πρόσφατα, η ομάδα των ειδικών μας έλαβε ένα μήνυμα από επισκέπτη της ιστοσελίδας μας που υποστήριζε ότι ένας από τους πελάτες του είδε το σύστημα του υπολογιστή του να μολύνεται από τον ιό .[oron@india.com].dharma ransomware. Εν τέλει, κατάφερε να ανακτήσει τα κρυπτογραφημένα δεδομένα του μέσω του 7-Zip. Απ' ότι φαίνεται, αυτή η μέθοδος έχει αποτέλεσμα. 

Τέλος, καλό είναι να φροντίζετε για την προστασία του υπολογιστή σας από κυβερνο-εισβολές κακόβουλων λογισμικών, όπως τα crypto-ransomwares. Για να 'θωρακίσετε' λοιπόν τον υπολογιστή σας από Dharma κι άλλα ransomwares, τότε σας συνιστούμε να χρησιμοποιήσετε ένα πλήρως ενημερωμένο κι αξιόπιστο anti-spyware, όπως πχ. FortectIntego, SpyHunter 5Combo Cleaner ή Malwarebytes

Προτεινόμενο/α

Μην αφήσεις την Κυβέρνηση να σε παρακολουθεί

Έχουν αναφερθεί πολλά περιστατικά με τις Κυβερνήσεις ανά τον κόσμο να υποκλέπτουν προσωπικά δεδομένα και να παρακολουθούν τη διαδικτυακή δραστηριότητα και τις διαδικτυακές προτιμήσεις των πολιτών. Καλό θα ήταν λοιπόν να λάβεις πολύ σοβαρά υπόψιν τη συγκεκριμένη κατάσταση και να ενημερωθείς για τις σκοτεινές και αθέμιτες πρακτικές συλλογής πληροφοριών. Σε συμβουλεύουμε να αποφεύγεις ύποπτες, παρασκηνιακές, σκοτεινές, αθέμιτες πρακτικές κατασκοπείας που προέρχονται από την Κυβέρνηση και διάφορους κυβερνητικούς οργανισμούς. Ο καλύτερος τρόπος για να τα καταφέρεις είναι να σερφάρεις τελείως incognito, δλδ. τελείως ανώνυμα στο διαδίκτυο. 

Μπορείς να επιλέξεις διαφορετική τοποθεσία κάθε φορά που είναι να συνδεθείς online και να αποκτήσεις διαδικτυακή πρόσβαση σε οποιοδήποτε περιεχόμενο επιθυμείς, χωρίς κανέναν απολύτως περιορισμό πρόσβασης. Πλέον, θα μπορείς να απολαμβάνεις χωρίς κανένα απολύτως πρόβλημα ή έγνοια, καθώς και χωρίς κανένα άγχος μήπως χακαριστείς, χρησιμοποιώντας Private Internet Access VPN υπηρεσίες.

Έτσι, θα μπορείς να ελέγχεις τις πληροφορίες που μπορούν να γίνουν προσβάσιμες από την Κυβέρνηση και τους κρατικούς οργανισμούς, καθώς και από άλλους ανεπιθύμητους τρίτους, σερφάροντας ανενόχλητα στο διαδίκτυο χωρίς τον φόβο ότι μπορεί να σε κατασκοπεύουν. Ακόμα και αν η διαδικτυακή δραστηριότητά σου είναι καθόλα νόμιμη ή ακόμα κι αν εμπιστεύεσαι πλήρως τις διαδικτυακές υπηρεσίες, πλατφόρμες που επιλέγεις, καλό θα ήταν να προστατεύεις το ιδιωτικό σου απόρρητο και να προτιμάς να χρησιμοποιείς VPN υπηρεσίες.

Backup αρχεία για μελλοντική χρήση, στην περίπτωση malware επίθεσης

Οι χρήστες υπολογιστών μπορεί να υποστούν διαφόρων ειδών απώλειες λόγω κυβερνομολύνσεων ή λόγω λαθών στα οποία μπορεί να υποπέσουν. Τα προβλήματα λογισμικού που μπορεί να δημιουργήσει μια επίθεση από malware ή η απευθείας απώλεια δεδομένων λόγω κρυπτογράφησης, μπορεί να δημιουργήσουν προβλήματα στη λειτουργία της συσκευής ή μόνιμη βλάβη. Εάν διατηρείς σωστά και ενημερωμένα backups, μπορείς εύκολα να ανακτήσεις τα δεδομένα σου και να επιστρέψεις γρήγορα και πάλι στην κανονικότητα.

Είναι πολύ σημαντικό να δημιουργείς τακτικά ενημερωμένα backups μετά από οποιαδήποτε αλλαγή στη συσκευή, έτσι ώστε να επιστρέψεις στο σημείο πριν την επίθεση malware, καθώς ένα malware μπορεί να προχωρήσει σε αυθαίρετες αλλαγές ή να δημιουργήσει σημαντικά προβλήματα στη συσκευή, όπως πχ. απώλεια δεδομένων ή δυσλειτουργία και κατακόρυφη πτώση των επιδόσεων. 

Έχοντας κάνει backup την πιο πρόσφατη έκδοση κάθε σημαντικού εγγράφου, μπορείς να αποφύγεις εκνευρισμό, άγχος, προβλήματα λειτουργίας, ή ακόμα και να αποφύγεις να πέσεις θύμα εκβιασμού από ιούς και χάκερς. Τα backups αποτελούν αξιόλογη λύση στην περίπτωση που πέσεις θύμα κυβερνοεπίθεσης και μόλυνσης από malware. Προτείνουμε τη χρήση του Data Recovery Pro για την επαναφορά συστήματος.

Σχετικά με συντάκτη
Jake Doevan
Jake Doevan - Η ζωή είναι πολύ μικρή για να την σπαταλάμε στην αντιμετώπιση ιών

Εάν ο δωρεάν οδηγός αφαίρεσης σας φάνηκε χρήσιμος και μείνατε ευχαριστημένοι από τις υπηρεσίες μας, τότε θα εκτιμούσαμε αν μας βοηθούσατε οικονομικά μέσω δωρεάς σας για να συνεχίσουμε το έργο μας. Ακόμα και το μικρότερο ποσόν θα εκτιμηθεί!

Επικοινώνησε με Jake Doevan
Σχετικά με την εταιρεία Esolutions

Οδηγίες αφαίρεσης σε άλλες γλώσσες