Dharmaランサムウェアの新しい拡張子が次々と確認されています。
「.FUNNY」「.vanss」「.betta」「.adobe」「.tron」「.AUDIT」「.cccmn」「.gdb」「.xxxxx」「.like」「.back」「.Bear」「.fire」と次々に新しい拡張子のDharmaランサムウェアが発見されています。
システムを作りRaas(Ransomeware as a Service)のサービスを提供するグループとそれを感染配布する犯罪者がいます。
感染配布する犯罪者は増え続けており、質の悪い犯罪者が追加されています。
質の悪い犯罪者は、身代金を払っても復号が出来るところまで対応をしません。
あるいは対応出来ないのかもしれません。
公開鍵に対応する秘密鍵の生成ができないで、エラーが出てしまったと右往左往してRaasに問い合わせるような事を言います。
多分、Raasへの問い合わせにはコストが必要なのでしょう。秘密鍵の提供もしないで、支払ったにもかかわらず、さらにビットコインを送ってこいと言ってきます。
とても信用できません。平然とウソをついてきます。
このような対応をしているDharmaランサムウェアは詐欺として誰も身代金を払わなくなるでしょう。
「.rapid」や「.SAVEfiles」のように金を取ったら知らんぷりというランサムウェアは、被害者は誰も金を払って復号してくれるという希望を持つことは出来ません。
残念ながら被害にあったら終わりです。
暗号化されるとファイル名は、
元のファイル名.id-ID番号.[連絡先メールアドレス].fire
のようにに置き換えられます。
身代金要求ファイルは「FILES ENCRYPTED.txt」「Info.hta」です。
新しい拡張子での感染経路はわかっていません
今までの流れでは、初期はメールの添付ファイルを開く事だけでしたが、SMBポート、RDPからの侵入と感染手法を変化させています。
ネット検索をすると「SpyHunter」「Reimage」「Stellar Phoenix Data Recovery」などの販売誘導サイトが多数あります。購入してもほとんど効果がないものです。ご注意ください。
当社では2通りの解決方法を持っています。上記の画像が表示されてから24時間以内であれば、身代金を払わずに解決する方法があります。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。