2019/3に追加されたDharmaランサムウェアの新しい拡張子です。
「.com」「.NWA」
2019/2に追加された拡張子は、
「.YAE」「.Frendi 」「.phobos」「.KARLS」「.888」「.amber」「.frend」
それ以前は、
「.qwex」「.ETH」「.air」
があります。
データファイルの拡張子を変えて暗号化をしてしまいます。暗号化が終わると壁紙が上記の身代金要求画像に置き換えられます。
ファイル名は、
元のファイル名.id-ID番号.[連絡先メールアドレス].NWA
に置き換えられます。
身代金要求ファイルは「FILES ENCRYPTED.txt」「Info.hta」です。
感染経路は、初期はメールの添付ファイルを開く事だけでしたが、SMBポート、RDPポートからの侵入と感染手法を変化させています。
Dharmaランサムウェアのシステムを作った犯罪者グループは、Ransomeware as a Service(Raas)のサービスを感染配布する犯罪者グループに提供しています。今までの研究からRaasの提供グループはモスクワを通る子午線上の地域を拠点にしていると思っております。
Dharmaランサムウェアを感染配布する犯罪者グループは複数あります。その中には身代金を盗む悪質な犯罪グループがあるので注意が必要です。
ネット検索をすると「SpyHunter」「Reimage」「Stellar Phoenix Data Recovery」などの販売誘導サイトが多数あります。購入してもほとんど効果がないものですご注意ください。
当社では2通りの解決方法を持っています。上記の画像が表示されたらすぐにシャットダウンして依頼されれば身代金を払わずに解決する方法があります。
暗号化されてしまう被害に遭うと何か月か置いてから2次感染、3次感染と被害が続きます。適切な再発防止措置が必要です。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。