File criptati:una nuova versione del ransomware Dharma cripta i file in .bip

Questa nuova variante di un cryptolocker, palesemente appartenente alla famiglia di ransomware Dharma, cripta i file e ne modifica l’estensione in .Bip. Non è chiaro come venga distribuita questa versione, ma la famiglia Dharma si è distinta per la diffusione tramite attacco ai servizi di Desktop Remoto per poter procedere all’installazione manuale del ransomware.

Come cripta i file

Una volta che questa variante viene installata, esegue subito la scansione del computer in cerca di data file e li cripta.


Fonte: bleepingcomputer.com

Questo ransomware ha la capacità di criptare anche i drive di rete mappati, le condivisioni di rete non mappate, le macchine virtuali condivise ecc…

Terminata la criptazione, BIP Dharma cancellerà le copieper impedire all’utente di  recuperare i file in forma non criptata.

La nota di riscatto

Questo ransomware crea inoltre due differenti note di riscatto sul computer infetto.cryptolocker

Una si chiama Info.hta e viene eseguita automaticamente all’avvio del computer.

L’altra è chiamata FILES ENCRYPTED.txt e viene salvata sul Desktop.

Entrambe le note contengono le istruzioni per contattare l’attaccante, al fine di ottenere le istruzioni per il pagamento.

Eseguite queste operazioni, infine, il ransomware configura se stesso in maniera tale da avviarsi automaticamente quando viene eseguito il login a Windows. Questo consente la criptazione di ogni nuovo file che viene creato dall’ultima esecuzione.

Nessuna soluzione disponibile

Attualmente non è possibile decriptare gratuitamente i file criptati da Bip Dharma. L’unica maniera per recuperare i file è deternerli in chiaro in un backup, per poterli quindi ripristinare dopo aver attentamente ripulito il sistema (se il ransomware è persistente sul sistema, infatti, cripterà ogni nuovo file).

 

Fonte: https://s-martitalia.blogspot.it