Nowa wersja Arena z rodziny ransomware CrySiS/Dharma to jedna z tych odmian ransomware, której nie chcesz napotkać na swej drodze. Jest on dobrze zaprogramowany i niemożliwy do odszyfrowywania za darmo.
Pomimo faktu, że kilka niedawnych odmian ransomware okazało się być w istocie nieszkodliwe, odmiana CrySiS o nazwie Arena stanowi wyjątek. Podobnie jak jego poprzednik o nazwie Cesar, ransomware ten stosuje bezbłędne algorytmy szyfrujące RSA i AES, dlatego odszyfrowywanie danych bez prywatnego klucza, który znajduje się w posiadaniu przestępców jest niemożliwe. Każda nowa wersja tej linii ransomware dokonuje infekcji w unikatowy sposób, który obejmuje dodane do zablokowanych plików rozszerzenie, jak również nazwy plików z instrukcjami. W tym przypadku ransomware dodaje do zainfekowanych plików końcówkę .id-[random].[chivas@aolonline.top].arena. W części random znajduje się identyfikator ofiary składający się z 8 znaków szesnastkowych. Powyższy adres e-mail jest najczęściej zgłaszany w tym wariancie, jednak może się różnić. Różne wersje mają różne dane kontaktowe, co może wyjaśniać różnice.
Do innych wariantów adresów e-mail w wersji Arena należą btc2017@india.com, black.mirror@qq.com, m.heisenberg@aol.com, macgregor@aolonline.top, sindragosa@bigmir.net, sir.dragcsa@bigmir.net, mandanos@foxmail.com, and gladius_rectus@aol.com. Stąd przykładowy plik o nazwie Ocean.bmp zostanie przekształcony w coś podobnego do Ocean.bmp.id-ACFA91E4.[chivas@aolonline.top].arena. Jednak z powodu połączenia szyfrowania symetrycznego i asymetrycznego żaden z tych plików nie może zostać otwarty ani manipulowany w inny sposób.
Gdy tylko zainfekowany użytkownik zauważy, że coś jest nie tak z plikami, wirus Arena wyświetla okno z żądaniem okupu o nazwie Info.hta. Dodatkowo zostawia na pulpicie plik FILES ENCRYPTED.txt. Zawartość tych dwóch plików jest różna, przy czym plik HTA jest dużo bardziej szczegółowy.
Zgodnie z informacjami odnośnie okupu, zainfekowany użytkownik ma wysłać wiadomość na adres e-mail chivas@aolonline.top lub którykolwiek z podanych. Tytuł wiadomości powinien zawierać unikatowy identyfikator ofiary, dzięki czemu oszuści mogą sprawdzić, o który prywatny klucz RSA chodzi w tym przypadku. Bandyci pozwalają też użytkownikowi za darmo odzyskać do 5 plików. Powinny mieć rozmiar mniejszy niż 10 MB, nie powinny być zarchiwizowane, ani zawierać cennych informacji. W odpowiedzi na wiadomość sprawcy wysyłają informację odnośnie wielkości okupu oraz portfel Bitcoin, na który należy go przesłać. Kwota wynosi od 0.5 do 1 BTC.
W przeciwieństwie do większości innych ransomware, które są przenoszone przez spam, odmiana Arena dokonuje infekcji za pośrednictwem RDP. Napastnicy wykorzystują usługi pulpitu zdalnego, aby uzyskać dostęp do komputera i rozpocząć szkodliwą działalność. Po zainfekowaniu pasożyt przystępuje do usunięcia kopii w tle plików użytkownika i skanuje dysk twardy oraz udostępnione w sieci foldery w poszukiwaniu prywatnych danych. Reszta ataku została opisana powyżej – Arena szyfruje napotkane dane, zmienia nazwy plików i generuje żądanie okupu. Aby usunąć infekcję i spróbować przywrócić pliki, postępuj zgodnie z poniższymi wskazówkami.
Usunięcie tego szkodnika może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Wykorzystanie techniki automatycznego czyszczenia zapewnia, że wszystkie elementy zakażenia zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus Arena tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Można tutaj wykorzystać narzędzia, takie jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usuwania wirusa, ale w każdym razie warto jest wypróbować tą metodę.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Metodę można zastosować, jeśli utworzone zostały kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to Twoja przezorność się opłacała.
Rozwiązanie 3: Użyj Kopiowania Woluminów w Tle
Jeśli nie wiedziałeś, to system operacyjny tworzy tzw. Kopiowanie Woluminów w Tle każdego pliku dopóki opcja Przywracanie Systemu (System Restore) jest włączona na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, generowane są również migawki plików, które pojawiają się w tej samej chwili. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji plików. Na pewno jednak warto jest spróbować. Ten obieg jest wykonalny na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się manualnemu procesowi.
Ponownie, samo usunięcie złośliwego oprogramowania nie prowadzi do zdeszyfrowania plików osobistych. Powyższe metody przywracania danych, mogą lub nie załatwić sprawę, ale samo ransomware nie znajduje się już wewnątrz Twojego komputera. Nawiasem mówiąc, wirus pojawia się z innym złośliwym oprogramowaniem, dlatego na pewno sensowne jest wielokrotne zeskanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania ransomware Arena