Dharma-BOOT Ransomware

Le Dharma-BOOT Ransomware est une nouvelle variante de la famille des logiciels malveillants Dharma, qui a été détectée dans la nature. Les menaces de ransomware sont conçues pour cibler les données de leurs victimes et les verrouiller spécifiquement avec des algorithmes de cryptage puissants. Les fichiers affectés sont rendus inutilisables et, dans la plupart des cas, ne peuvent être restaurés qu'en ayant la clé de déchiffrement et l'outil logiciel spécifiques possédés par les attaquants.

Chaque fois que leDharma-BOOT Ransomware verrouille un fichier, il modifie également le nom d'origine de ce fichier. La menace ajoute d'abord une chaîne d'identification qui a été attribuée à la victime. Ensuite, il ajoute le "resetboot@aol.com". Enfin, '.BOOT' est placé comme une nouvelle extension de fichier. En suivant le comportement typique du Dharma, Dharma-BOOT crée également deux notes de rançon différentes sur les systèmes compromis. Un bref message demandant une rançon peut être trouvé dans un fichier texte nommé « FILES ENCRYPTED.txt », tandis que la note de rançon complète sera affichée dans une fenêtre contextuelle.

Les demandes de Dharma-BOOT Ransomware

Les instructions fournies via le fichier texte indiquent simplement aux victimes de contacter l'adresse e-mail « resetboot@aol.com », qui se trouve dans les noms des fichiers cryptés. La fenêtre pop-up réitère le même messageen grande partie, mais comprend également une section de divers avertissements. Les utilisateurs concernés sont priés de ne renommer aucun des fichiers verrouillés ou d'essayer de les déchiffrer avec des outils tiers, car cela pourrait endommager les données et les rendre irrécupérables.

La fenêtre contextuelle affiche le message suivant :

'VOS FICHIERS SONT CRYPTÉS
Ne vous inquiétez pas, vous pouvez retourner tous vos fichiers !
Si vous souhaitez les restaurer, suivez ce lien : email resetboot@aol.com VOTRE ID 1E857D00
Si vous n'avez pas reçu de réponse via le lien dans les 12 heures, écrivez-nous par e-mail:resetboot@aol.com
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte de données permanente.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation des prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque. '

Le message dans le fichier texte est :

' toutes vos données nous ont été verrouillées
Vous voulez revenir ?
écrire un e-mail resetboot@aol.com .'