Fans der Serie ‘Lost’ ist der Begriff Dharma noch als geheimnisvolle Initiative bekannt. In den indischen Religionen ist Dharma ein Überbegriff für Ordnung, Sitte und Gesetz. In letzter Zeit wurde der Begriff allerdings häufig im Zusammenhang mit einem fiesen Ransomware-Virus genannt, der ganze Rechner verschlüsselt und unbrauchbar gemacht hat. Nun wurden aber die Entschlüsselungscodes veröffentlicht und mit unserer Anleitung kann der Schädling ganz einfach vom Rechner entfernt werden und sogar die verschlüsselte Dateien mit der Endung .dharma können wiederhergestellt werden!
Dharma-Virus: Was ist das?
Die Dharma Ransomware, die erstmals im November 2016 von Malware-Spezialisten entdeckt wurde, verschlüsselt Dateien auf dem infizierten Rechner. Somit ist kein Zugriff auf diese Daten mehr möglich. Meistens gelangt der Dharma durch äußerst seriös wirkende Spam-Mails auf den PC, indem der Anhang einer solchen Mail geöffnet wird. Danach erfolgt die sofortige Verschlüsselung einiger Dateien. Die Cyberkriminellen fordern anschließend Lösegeld, um die eigenen Daten wieder zu entschlüsseln. Die aktuellste Version der Dharma Ransomware hinterlässt auf dem infizierten Rechner folgende Nachricht:
ATTENTION!
At the moment, your system is not protected.
We can fix it and restore files.
To restore the system write to this address:
bitcoin143@india.com
Aber Vorsicht: Sollte Ihr Rechner mit der Ransomware Dharma infiziert sein, nehmen Sie auf keinen Fall Kontakt zu der aufgeführten E-Mail-Adresse auf! Es ist weder gesichert, dass die Dateien wirklich wieder entschlüsselt werden, noch, welche Konsequenzen das Zahlen einer bestimmten Summe an die Erpresser hat. Es gibt verschiedene Versionen der Dharma Ransomware, die Dateien auf dem Rechner entweder mit den Endungen .dharma, .zzzzz oder .wallet verschlüsseln. Im Folgenden erfahren Sie, wie Dharma Ransomware erfolgreich vom Rechner entfernt wird und wie man verschlüsselte Dateien, sofern sie auf .dharma enden, wieder entschlüsseln kann.
Wie kann ich die Dharma Ransomware von meinem Rechner entfernen?
Sollte Ihr Computer mit der Dharma Ransomware befallen sein, handeln Sie schnell! Am besten, Sie starten den PC nicht neu, da mit jedem Reboot neue Dateien verschlüsselt werden. Entfernen Sie Dharma folgendermaßen schnellstmöglich von Ihrem Rechner:
Methode 1: Dharma Ransomware im Abgesicherten Modus mit Netzwerktreibern entfernen
- Windows 7/Vista/XP:
- Start – Ausschalten – Neustart – OK
- Sobald PC aktiv wird, mehrmals F8 drücken, bis Fenster Erweiterte Startoptionen zu sehen ist
- Abgesicherter Modus mit Netzwerkbetreibern wählen
- Windows 10/8:
- Anmeldebildschirm: auf Power-Symbol, Shift gedrückt halten und Neustart drücken
- Problembehandlung – Erweiterte Optionen – Starteinstellungen – Neustart
- Starteinstellungen im abgesicherter Modus mit Netzwerktreibern aktivieren wählen
- Am infizierten PC anmelden und den Browser starten
- Anti-Malware-Programm herunterladen (z.B. Malwarebytes)
- Programm aktualisieren, bevor ein vollständiger System-scan ausgeführt wird; schädliche Dateien entfernen und Entfernung fertigstellen
Methode 2: Dharma Ransomware durch Systemwiederherstellung entfernen
- Windows 7/Vista/XP:
- Start – Ausschalten – Neustart – OK
- Sobald PC aktiv wird, mehrmals F8 drücken, bis Fenster Erweiterte Starteinstellungen zu sehen ist
- Eingabeaufforderung wählen
- Windows 10/8:
- Anmeldebildschirm: auf Power-Symbol, Shift gedrückt halten und Neustart drücken
- Problembehandlung – Erweiterte Optionen – Starteinstellungen – Neustart
- Starteinstellungen im abgesicherter Modus mit Eingabeaufforderung wählen
- cd restore eingeben und Enter drücken
- rstrui.exe eingeben und Enter drücken
- Weiter drücken und einen Wiederherstellungspunkt wählen, der zeitlich vor der Infizierung mit Dharma liegt, dann wieder weiter, dann ja
- Nach der Wiederherstellung mit einem Ransomware-Scanner prüfen, ob Dharma erfolgreich entfernt wurde
Dharma: So kann man Dateien entschlüsseln
Sobald Sie die Dharma Ransomware erfolgreich von Ihrem Rechner entfernt haben, können Sie mit der Entschlüsselung der Dateien beginnen. Beachten Sie hierbei, dass momentan nur Dateien mit der Endung .dharma entschlüsselt werden können. Für die Dateien, die die Dharma Ransomware mit den Endungen .wallet oder .zzzzz verschlüsselt hat, gibt es leider noch kein Entschlüsselungs-Tool. Führen Sie dazu folgende Schritte aus:
Schritt 1:
Aktuellsten Rakhni Decryptor herunterladen (mindestens Version 1.17.17.0), Zip-Ordner entpacken (z.B. mit 7zip) und die Datei Rakhni.Decryptor.exe auf dem Rechner ausführen.
Schritt 2:
Schritt 3:
Objekt (PDF, Excel, oder sonstige verschlüsselte Datei) zum finden des Schlüssels auswählen (Achtung: txt-Dateien können nicht verwendet werden) und auf Öffnen klicken
Schritt 4:
Dann startet der Scan und die Entschlüsselung aller mit Dharma verschlüsselten Daten. Warten Sie, bis dieser ausgeführt wurde (kann unter Umständen mehrere Stunden dauern!). Unter Details findet sich dann eine Liste mit den entschlüsselten Objekten.
Schritt 5: Decryptor schließen
Danach sollten Sie wieder auf Ihre Dateien zugreifen können. Allerdings kann es sein, dass ein Backup der verschlüsselten Dateien noch auf Ihrem Rechner vorhanden ist. Um dieses zu löschen, gibt es spezielles Säuberungsprogramme, wie z.B. CryptoSearch. Installieren Sie dieses und führen Sie einen Scan durch.
Achtung: Es kann sein, dass manche Dateien mehrfach verschlüsselt sind. Hierzu müssen die aufgeführten Schritte so oft wiederholt werden, bis die Datei nach der Entschlüsselung wieder ihren Originalnamen trägt.
Wie kann ich Ransomware wie Dharma in Zukunft vermeiden?
Auch wenn man sich nie hundertprozentig vor Ransomware schützen kann, gibt es dennoch einige Tipps, die dabei helfen, das Risiko von solchen Bedrohungen aus dem Internet einzudämmen. Unsere Expertiger-Tipps zum Schutz vor Ransomware:
- Installieren Sie ein zuverlässiges Virenschutz-Programm, um Bedrohungen vorzubeugen.
- Seien Sie vorsichtig, was das Öffnen von E-Mail-Anhängen angeht. Öffnen Sie diese nur, wenn Sie der Quelle vertrauen! Halten Sie nach Rechtschreibfehlern, unpersönlichen Anreden und der Aufforderung von Dateneingabe Ausschau. Dies sind oft Indizien für Spam-Mails.
- Stellen Sie ein, dass sich all Ihre Programme automatisch aktualisieren. So werden durch regelmäßige Updates nicht nur Sicherheitslücken geschlossen, sondern es wird auch verhindert, dass Sie sich beim manuellen Update-Download Ransomware einfangen.
- Laden Sie keine illegal verbreiteten Medien herunter. Zum rechtlichen Risiko kommt hinzu, dass diese Dateien oft mit Malware verseucht sind.
- Erstellen Sie regelmäßig Backups wichtiger Dateien, die Sie extern speichern. Diese sind dann auch im Falle eines Ransomware-Befalls geschützt und zugänglich.
Einen ausführlichen Artikel zum Ransomware-Schutz finden Sie ebenfalls auf unserem Blog. Sollte Ihr Rechner mit Dharma oder anderer Ransomware infiziert sein und Sie sich nicht zutrauen, Ihren PC selbst zu bereinigen, kontaktieren Sie gerne unsere IT-Spezialisten von Expertiger. Wir helfen Ihnen, jegliche Art von Malware von Ihrem Computer zu beseitigen. Rufen Sie an und lassen Sie Ihr Anliegen rund um Spyware, Viren, Trojaner und Ransomware unverbindlich sowie kostenlos einschätzen!
Liebe Julia,
Der Dharma Virus verschlüsselt asymetrisch und es ist derzeit nicht möglich diese Verschlüsselung mit irgendwelchen Tools zu entschlüsseln. Zumindest ist mir keine bekannt und ich befasse mich damit auch beruflich. Netter Beitrag aber für Dharma also alle Verschlüsselungen mit der Endung Wallet sinnlos.
LG
M
Hallo Markus,
vielen Dank für die Info! Werden wir sofort in den Beitrag aufnehmen. Die Dharma-Version, die die Dateien mit der Endung .dharma auf dem Rechner hinterlässt, kann unseres Wissens mit dem Kaspersky-Tool entschlüsselt werden.
Viele Grüße,
Julia