「.btc」「.bgtx」「.gamma」拡張子に暗号化するのDharmaランサムウェアが発見されました。今までも「.dharma」「.wallet」「.onion」「.arena」「.cobra」「.java」「.arrow」「.bip」「.cmb」「.combo」「.brrr」と拡張子を変化させてきたDharmaランサムウェアです。
「.btc」「.bgtx」は2018年10月上旬に発見されました。「.gamma」は2018年9月に海外で発見されました。gammaはDharmaの中ではcezar系統として分類されるランサムウェアです。
データファイルの拡張子を変えて暗号化をしてしまいます。暗号化が終わると壁紙が上記の身代金要求画像に置き換えられます。
ファイル名は、
元のファイル名.id-ID番号.[連絡先メールアドレス].btc
に置き換えられます。連絡先メールアドレスには、「btc@fros.cc」が使われています。
身代金要求ファイルは「FILES ENCRYPTED.txt」「Info.hta」です。
新しい拡張子での感染経路はわかっていません
今までの流れでは、初期はメールの添付ファイルを開く事だけでしたが、SMBポート、RDPからの侵入と感染手法を変化させています。
Dharmaランサムウェアのシステムを作った犯罪者グループは、Ransomeware as a Service(Raas)のサービスを感染配布する犯罪者グループに提供しています。今までの研究からRaasの提供グループはロシアを拠点にしているのではと思っております。
感染配布する犯罪者グループは複数あります。
拡張子をどんどん変化させているのは、追跡をのがれる為だけではなさそうです。複数の感染させる犯罪者グループがある事が関係しているのではと推測しています。
ネット検索をすると「SpyHunter」「Reimage」「Stellar Phoenix Data Recovery」などの販売誘導サイトが多数あります。購入してもほとんど効果がないものです。ご注意ください。
当社では2通りの解決方法を持っています。上記の画像が表示されてから1~2日であれば、身代金を払わずに解決する方法があります。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。