Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Dharma ransomware (filename.[<email>].wallet/.ceser/.arena) Support Topic


  • Please log in to reply
1591 replies to this topic

#676 manestevez

manestevez

  • Members
  • 46 posts
  • OFFLINE
  •  
  • Local time:03:27 AM

Posted 28 February 2017 - 02:07 PM

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Amigo Pedro, el unico que tiene el programa para desencriptar es el hacker !!



BC AdBot (Login to Remove)

 


#677 WalletRestore

WalletRestore

  • Members
  • 13 posts
  • OFFLINE
  •  
  • Local time:03:27 AM

Posted 28 February 2017 - 02:15 PM

We found solution to restore bigger (>10MB) archived files (ZIP, RAR).

Also SQL backup files .BAK may be restored if some non encrypted older version is available.

If anyone interested contact : wallet.restore@gmail.com



#678 PedroMoreno

PedroMoreno

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:10:27 PM

Posted 28 February 2017 - 02:32 PM

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Amigo Pedro, el unico que tiene el programa para desencriptar es el hacker !!

 

Hola Manestevez, no tengo dinero como para pagar. ¿No habrá alguien de buen corazón que quiera ayudarnos?, ¿a ti te ocurrió lo mismo?



#679 eze_jm

eze_jm

  • Members
  • 30 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Argentina
  • Local time:10:27 PM

Posted 28 February 2017 - 04:54 PM

Pedro, ante todo te doy la bienvenida al club de los afectados, A mi ne ataco en noviembre. /Pagar no te garantiza nada. En mi caso algunos archivos los recupere de copias, otros los volví a descargar de Internet. De los restantes alguno zip y rar los pude recuperar. Lo que queda lo tengo en los discos rígidos a la espera que aparezca la solución

 

Saludos desde Bs As , Argentina

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro



#680 PedroMoreno

PedroMoreno

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:10:27 PM

Posted 28 February 2017 - 04:59 PM

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Amigo Pedro, el unico que tiene el programa para desencriptar es el hacker !!

 

Hola Manestevez, no tengo dinero como para pagar. ¿No habrá alguien de buen corazón que quiera ayudarnos?, ¿a ti te ocurrió lo mismo?

 

 

 

 

Pedro, ante todo te doy la bienvenida al club de los afectados, A mi ne ataco en noviembre. /Pagar no te garantiza nada. En mi caso algunos archivos los recupere de copias, otros los volví a descargar de Internet. De los restantes alguno zip y rar los pude recuperar. Lo que queda lo tengo en los discos rígidos a la espera que aparezca la solución

 

Saludos desde Bs As , Argentina

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Hola eze_jm, tendremos que estar atentos para cuando exista alguna solución, si consigo el programa que desencripta los archivo con gusto lo compartire con todos

 

Saludos desde Santiago,Chile



#681 eze_jm

eze_jm

  • Members
  • 30 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Argentina
  • Local time:10:27 PM

Posted 28 February 2017 - 05:06 PM

 

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Amigo Pedro, el unico que tiene el programa para desencriptar es el hacker !!

 

Hola Manestevez, no tengo dinero como para pagar. ¿No habrá alguien de buen corazón que quiera ayudarnos?, ¿a ti te ocurrió lo mismo?

 

 

 

 

Pedro, ante todo te doy la bienvenida al club de los afectados, A mi ne ataco en noviembre. /Pagar no te garantiza nada. En mi caso algunos archivos los recupere de copias, otros los volví a descargar de Internet. De los restantes alguno zip y rar los pude recuperar. Lo que queda lo tengo en los discos rígidos a la espera que aparezca la solución

 

Saludos desde Bs As , Argentina

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Hola eze_jm, tendremos que estar atentos para cuando exista alguna solución, si consigo el programa que desencripta los archivo con gusto lo compartire con todos

 

Saludos desde Santiago,Chile

 

 

Pedro

 

Guarda los archivos encriptados, si puedes quita los discos

 

Esta gente trabaja con la vulnerabilidad del escritorio remoto de windows.  Te recomiendo que de ser posible no dejes sesiones abiertas, a mi me entro de ese modo.

Seje una sesion abierta sin querer fuera de la VPN

 

Saludos

 

Ezequiel 



#682 PedroMoreno

PedroMoreno

  • Members
  • 11 posts
  • OFFLINE
  •  
  • Local time:10:27 PM

Posted 28 February 2017 - 05:28 PM

 

 

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Amigo Pedro, el unico que tiene el programa para desencriptar es el hacker !!

 

Hola Manestevez, no tengo dinero como para pagar. ¿No habrá alguien de buen corazón que quiera ayudarnos?, ¿a ti te ocurrió lo mismo?

 

 

 

 

Pedro, ante todo te doy la bienvenida al club de los afectados, A mi ne ataco en noviembre. /Pagar no te garantiza nada. En mi caso algunos archivos los recupere de copias, otros los volví a descargar de Internet. De los restantes alguno zip y rar los pude recuperar. Lo que queda lo tengo en los discos rígidos a la espera que aparezca la solución

 

Saludos desde Bs As , Argentina

 

 

Señores:

                   Tenemos encriptados los archivos con la estención .wallet  con Darma ransonware , ¿alguien tendrá una programa para desencriptar los archivos?, me ayudarían mucho.

 

Quedo atento

Saludos

Pedro

 

Hola eze_jm, tendremos que estar atentos para cuando exista alguna solución, si consigo el programa que desencripta los archivo con gusto lo compartire con todos

 

Saludos desde Santiago,Chile

 

 

Pedro

 

Guarda los archivos encriptados, si puedes quita los discos

 

Esta gente trabaja con la vulnerabilidad del escritorio remoto de windows.  Te recomiendo que de ser posible no dejes sesiones abiertas, a mi me entro de ese modo.

Seje una sesion abierta sin querer fuera de la VPN

 

Saludos

 

Ezequiel 

 

 

Ezequiel:

 

                      Muchas gracias por la info, seguiré tu consejo, esperemos que aparezca el programa para desencriptar los archivos, no perdamos la esperanza.

 

Saludos desde Santiago, Chile



#683 nayeem33

nayeem33

  • Members
  • 1 posts
  • OFFLINE
  •  
  • Local time:02:27 AM

Posted 01 March 2017 - 12:22 AM

One of my clients also get infected.

Weak RDP password. They get in, and just leave the "present".

In our case the mail for the ransom is sman at india.com.

The ransomware encrypted the hard drive, native windows 2008 usb backup drive and network shares in a NAS.

It has encrypted almost everything, included .exe. Not like old ransomware that just do the encryption in some file extensions.

Also, the Windows log files where deleted. Nothing before the moment of the encryption.

 

I also have the exe file if anyone wants it.

 

Good luck

 

 



#684 supdake

supdake

  • Members
  • 1 posts
  • OFFLINE
  •  
  • Local time:06:27 PM

Posted 01 March 2017 - 12:53 PM

A client of mine was infected with the .wallet version of the Dharma ransomware.  It was legionfromheaven@india and people have had bad results after paying the ransom, plus we don't like supporting cyber terrorists, so paying wasn't really an option.  We did have a couple of successes with database and outlook pst files which were all over 5 gigs.  I read about the ransomware only encrypting the first and last portion of large files so I tried a few different thing and here is what finally worked.  We deleted the legionfromheaven@india.com.wallet portion of the file names on both the mdb files and the pst files.  On the pst file I then simply ran scanpst.exe on the pst file.  It said it was fixed, but then when I tried to open it outlook said it had a password.  I used a free pst password removal tool and viola, we had the emails back. Similarly, with the databases, we ran a couple of third party database repair tools and other than a couple of screwed up records we got everything back in the databases as well.  Hopefully, this helps someone! Luckily for us the email files and database files were 95% of what was important and we were able to rebuild the rest from other sources.


Edited by supdake, 01 March 2017 - 12:54 PM.


#685 lqcservices

lqcservices

  • Members
  • 1 posts
  • OFFLINE
  •  
  • Local time:06:27 PM

Posted 01 March 2017 - 01:02 PM

The legionfromheaven @ india.com ransomware virus encrypts program files (.exe) along with data files.  We paid the ransom due to missing some key data on our backups and in hopes of not having to rebuild the Server 2008 OS.  They took the money paid in Bitcoins and then demanded more.  They are criminals of course and have no moral virtues to appeal to.  DO NOT PAY the ransom.  I recommend replying to their email address with "We have heard of you and you do not decrypt even after payment."  Maybe they will start decrypting just to stay in "business" since we know there is no way they are going to stop their criminal activity.



#686 gektar

gektar

  • Members
  • 1 posts
  • OFFLINE
  •  
  • Local time:01:27 AM

Posted 01 March 2017 - 01:42 PM

Master decryption keys for all "dharma" variants:

http://pastebin.com/SKfGE5TM



#687 Justicero2

Justicero2

  • Members
  • 8 posts
  • OFFLINE
  •  

Posted 01 March 2017 - 01:51 PM

Master decryption keys for all "dharma" variants:

http://pastebin.com/SKfGE5TM

 

How to use?



#688 quietman7

quietman7

    Bleepin' Janitor


  • Global Moderator
  • 49,588 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Virginia, USA
  • Local time:09:27 PM

Posted 01 March 2017 - 02:47 PM

Master decryption keys for all "dharma" variants:
http://pastebin.com/SKfGE5TM

 
How to use?

I have advised our Security Colleagues who specialize in crypto malware ransomware so they can check this out.
.
.
Microsoft MVP Consumer Security 2007-2015 kO7xOZh.gif
Microsoft MVP Reconnect 2016
Windows Insider MVP 2017
Member of UNITE, Unified Network of Instructors and Trusted Eliminators

If I have been helpful & you'd like to consider a donation, click 38WxTfO.gif

#689 eze_jm

eze_jm

  • Members
  • 30 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Argentina
  • Local time:10:27 PM

Posted 01 March 2017 - 03:08 PM

This is an Amazzing News.



#690 manestevez

manestevez

  • Members
  • 46 posts
  • OFFLINE
  •  
  • Local time:03:27 AM

Posted 01 March 2017 - 04:22 PM

Master decryption keys for all "dharma" variants:

http://pastebin.com/SKfGE5TM

how does it work ????

 

Very interesant !!






6 user(s) are reading this topic

0 members, 6 guests, 0 anonymous users