Το Dharma Ransomware, διανέμεται από hackers μέσω μίας κακόβουλης καμπάνιας spam μηνυμάτων, που στοχεύει χρήστες Windows στην Ιταλία.
Το Dharma Ransomware υπάρχει εδώ και αρκετά χρόνια και βασίζεται σε μία οικογένεια ransomware που ονομάζεται Crysis. Ωστόσο η διανομή του μέσω spam μηνυμάτων δεν είναι τόσο κοινή πρακτική, αφού μέχρι τώρα εγκαθίστατο μέσω υπηρεσιών απομακρυσμένης επιφάνειας εργασίας.
Οι ερευνητές ασφαλείας JAMESWT, TG Soft και reecDeep ανακάλυψαν αυτή τη νέα καμπάνια spam, που μολύνει τους χρήστες με το keylogger Ursniff ή το Dharma Ransomware.
Τα spam μηνύματα ηλεκτρονικού ταχυδρομείου, χρησιμοποιούν θέματα όπως το Fattura n. 637 del 14.01.20 και προσποιούνται ότι είναι ένα τιμολόγιο που έχει αποσταλεί στο χρήστη.
Το μήνυμα περιέχει ένα συνημμένο αρχείο, που είναι το υποτιθέμενο τιμολόγιο και μόλις ο χρήστης κάνει κλικ σε αυτό, τον μεταφέρει στη σελίδα OneDrive που φιλοξενεί ένα αρχείο με τίτλο ‘New documento 2.zip’. Αυτό το αρχείο μεταφορτώνεται αυτόματα όταν ένας χρήστης επισκέπτεται τη σελίδα.
Μέσα σε αυτό το αρχείο zip υπάρχουν άλλα δύο αρχεία: ένα VBS script που ονομάζεται ‘Nuovo documento 2.vbs’ και ένα αρχείο εικόνας που ονομάζεται ‘yuy7z.jpg’.
Σε περίπτωση που ο χρήστης τρέξει το πρόγραμμα “Nuovo documento 2.vbs”, υπάρχουν διάφορα επιβλαβή λογισμικά που μπορεί να εγκατασταθούν στη συσκευή του.
Νωρίτερα, ο TG Soft είδε το trojan Ursniff που κλέβει δεδομένα, να εγκαθίσταται από το VB script, ενώ στη συνέχεια άρχισε να εγκαθιστά το Dharma Ransomware.
Η έκδοση του Dharma Ransomware που εγκαθίσταται προσθέτει την επέκταση .ROGER σε κρυπτογραφημένα αρχεία και εμφανίζει ένα μήνυμα που ζητά λύτρα και λέει στο θύμα να επικοινωνήσει με το sjen6293@gmail.com για πληροφορίες σχετικά με το πώς θα πραγματοποιηθεί η πληρωμή.
Δυστυχώς, δεν υπάρχει τρόπος να αποκρυπτογραφήσετε τα αρχεία που έχουν κρυπτογραφηθεί από το Dharma Ransomware, εκτός αν έχετε το κλειδί, το οποίο είναι γνωστό μόνο στους χειριστές του ransomware.
Αν έχετε μολυνθεί από αυτό το ransomware, ο μόνος τρόπος για να ανακτήσετε τα αρχεία σας είναι μέσω αντιγράφων ασφαλείας ή καταβάλλοντας τα λύτρα που σας ζητήθηκαν.
