Table des matières
La nouvelle version Arena de CrySiS / Dharma ransomware est l’une des espèces de rançon que vous ne voulez pas rencontrer. Il est bien architecte et pas déchiffrable gratuitement.
Bien que quelques brins de rançon récents sont tous écorce, mais pas de morsure, l’édition Arena de CrySiS est à la fois. Tout comme son prédécesseur baptisé Cesar, celui-ci exploite les algorithmes cryptographiques RSA et AES de façon impeccable, afin de décrypter les données sans une clé privée appartenant à des escrocs est un pas aller. Chaque nouvelle itération de cette lignée a obtenu des indicateurs uniques de la brèche, qui incluent l’extension suffixée aux fichiers verrouillés ainsi que les noms de note de sauvetage. Cette ramification particulière ajoute des fichiers d’otages avec l.id-[random].[chivas@aolonline.Top]. Arena. La partie aléatoire est un ID de victime qui se compose de 8 caractères hexadécimaux. L’adresse e-mail ci-dessus est le plus couramment rapporté avec cette variante, bien qu’il puisse varier aussi. Différentes filiales ont des coordonnées différentes, ce qui explique la variabilité.
Quelques autres chaînes de courriels associées à la version Arena de CrySiS/Dharma comprennent btc2017@India.com, Black.Mirror@QQ.com, m.Heisenberg@AOL.com, MacGregor@aolonline.Top, Sindragosa@bigmir.net, Sir.dragcsa@bigmir.net, mandanos@Foxmail.com et gladius_rectus@AOL.com. En fin de compte, un fichier arbitraire nommé Ocean .bmp se transformera en une entrée similaire à Ocean.bmp.ID-ACFA91E4. [Chivas@aolonline.Top]. Arena. Bien sûr, en raison de l’Tweaking par le biais d’un mélange de normes de cryptographie symétrique et asymétrique, aucun de ces fichiers peuvent être ouverts ou accessibles d’une autre manière.
Dès que l’utilisateur en proie à la peste commence à réaliser que quelque chose ne va pas avec leurs données, le virus Arena affiche une fenêtre englobant la note de rançon nommée Info.hta. En outre, il supprime le document fichiers chiffrés .txt sur le bureau. Le contenu de ces deux sont différents, l’édition ETS étant beaucoup plus bavard.
Selon les notes de sauvetage, l’utilisateur infecté est censé envoyer un e-mail à Chivas@aolonline.Top, ou quelle que soit l’adresse est indiquée là-dedans. Le titre de ce message doit contenir l’ID de victime unique de sorte que les escrocs peuvent travailler sur la clé RSA privé s’appliquera dans ce cas. Les méchants permettent également à l’utilisateur de restaurer jusqu’à 5 fichiers gratuitement. Ceux-ci devraient être au-dessous de 10 MB dans la taille, ne devraient pas être archivés ou contiennent des informations valables. En réponse au message, les auteurs enverront la taille de la rançon et le portefeuille de Bitcoin pour le soumettre. Le montant varie de 0,5 à 1 BTC.
Contrairement à la plupart des espèces de rançon qui sont transmises par le spam, la souche Arena fait le tour via RDP. Les attaquants abusent des services de bureau à distance pour prendre pied sur un ordinateur et exécuter le binaire malveillant. Lors de l’infiltration, le parasite tente de supprimer des clichés instantanés des fichiers de l’utilisateur et scanne le disque dur et les partages réseau pour les données personnelles. Le reste de la chaîne d’assaut a été décrit ci-dessus-Arena crypte les informations repérées, modifie les noms de fichiers et génère des notes de rançon. Pour se débarrasser de l’infection et essayer de rétablir les fichiers, assurez-vous de suivre les conseils ci-dessous.
Enlèvement automatique du virus d’extension .arena
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Arena
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restorer les fichiers encryptés .arena
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Arena crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez si le ransomware Arena a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.