Den nye Arena-variant af CrySiS/Dharma-ransomwaren er en af de typer af ransomware, som du ikke har lyst til at blive udsat for. Den er godt designet og kan ikke umiddelbart dekrypteres gratis.
Mens mange af den senere tids ransomware-angreb har skræmt mere, end de har skadet, så gør Arena-udgaven af CrySiS begge dele. Ligesom sin forgænger kaldet Cesar, bruger denne variant RSA og AES kryptografiske algoritmer meget præcist, så dekryptering af data uden en skurke-ejet privat nøgle er umuligt. Hver ny iteration af denne linje har sine egne unikke kendetegn, bl.a. den filendelse, som påføres låste filer, samt navnene på de noter, der beskriver genoprettelsesprocessen. Denne specifikke variant sætter følgende efter de ramte filer: .id-[tilfældigt].[Chivas@aolonline.top].arena. Den tilfældige del er et offer-ID, der består af 8 hexadecimale tegn. E-mail-adressen ovenfor er den, der hyppigst er rapporteret i sammenhæng med denne variant, men den kan variere. De forskellige bagmænd har forskellige kontaktoplysninger, hvilket forklarer variationen.
Andre e-mailadresser, der er set i sammenhæng med Arena-varianten af CrySiS/Dharma, er btc2017@india.com, black.mirror@qq.com, m.heisenberg@aol.com, macgregor@aolonline.top, sindragosa@bigmir.net, sir.dragcsa@bigmir.net, mandanos@foxmail.com, and gladius_rectus@aol.com. I sidste ende vil en vilkårlig fil ved navn Ocean.bmp forvandle sig til en fil i stil med Ocean.bmp.id-ACFA91E4. [Chivas@aolonline.top].arena. Men, som følge af den optimering, der er sket gennem blandingen af symmetriske og asymmetriske krytpografiske metoder, kan ingen af disse filer åbnes eller tilgås på nogen måde.
Så snart den ramte bruger begynder at indse, at noget er galt med sine data, viser Arena-virusen et vindue indeholdende løsepenge-noten Info.hta. Derudover lægger den filen FILES ENCRYPTED.txt på skrivebordet. Indholdet af de to er lidt forskelligt, og HTA-udgaven er den mest udførlige.
Ifølge genoprettelsesnoterne skal den inficerede bruger sende en email til chivas@aolonline.top, eller hvad der nu måtte være angivet som e-mail. Titlen på denne meddelelse skal indeholde det unikke offer-id, så skurkene kan finde ud af, hvilken privat RSA-nøgle der skal anvendes i dette tilfælde. Skurken tillader også brugeren at genoprette op til 5 filer gratis. Disse skal være under 10 MB i størrelse, må ikke være del af et arkiv, og må ikke indeholde værdifulde oplysninger. Som svar på meddelelsen vil gerningsmændene sende størrelsen på løsesummen og den Bitcoin wallet, de skal sendes til. Beløbet varierer fra 0,5 til 1 BTC.
I modsætning til de fleste typer af ransomware, der er spambårne, bliver Arena-varianten spredt via RDP. Angriberne misbruger fjernbetjeningstjenester til at få fodfæste på en computer og til at eksekvere den ondsindede fil. Ved infiltrering forsøger parasitten at slette skyggekopier af brugerens filer, og den scanner harddiske og netværksdrev for personlige data. Resten af angrebskæden er blevet beskrevet ovenfor – Arena krypterer de identificerede oplysninger, ændrer filnavne og genererer noter om løsepenge. For at slippe af med infektionen og forsøge at genoprette filer, skal du sørge for at følge nedenstående tips.
Det kan lykkes at udrydde denne ransomware effektivt med pålideligt sikkerhedssoftware. Ved at holde sig til den automatiske rensningsteknik, sikrer man, at alle infektionens elementer fjernes grundigt fra systemet.
Løsning 1: Brug filgendannelses software
Det er vigtigt at være klar over, at Arena ransomware laver kopier af dine filer og krypterer disse. I mellemtiden slettes de oprindelige filer. Der findes programmer på markedet, der kan genoprette de fjernede data. Du kan bruge værktøjer som Data Recovery Pro til dette formål. Den nyeste version af den ransomware, der er tale om her, foretager sikre sletninger med adskillige overskrivninger, men uanset hvad, er denne metode et forsøg værd.
Løsning 2: Brug sikkerhedskopier
Dette er den allerbedste måde at få dine filer genoprettet på. Den kan dog kun bruges, hvis du har sikkerhedskopieret de oplysninger, der ligger på din maskine. Har du det, skal du endelige benytte dig of din forudseenhed.
Løsning 3: Brug Shadow Volume Kopier
I tilfælde af, du ikke er klar over det, opretter operativsystemet såkaldte Shadow Volume Copies af hver enkelt fil, så længe System Restore er aktiveret på computeren. Da gendannelsespunkter skabes bed bestemte mellemrum, genereres der også kopier af filer, som de ser ud i det pågældende øjeblik. Vær opmærksom på, at denne metode ikke garanterer gendannelsen af de nyeste versioner af dine filer. Det er dog helt sikkert et forsøg værd. Denne arbejdsgang kan foretages på to måder – manuelt eller ved hjælp af en automatisk løsning. Lad os først se på den manuelle proces.
Properties dialogen for forskellige filer har en fane, der hedder Tidligere versioner. Det er her de sikkerhedskopierede versioner kan ses og genoprettes fra. Så højre-klik på en fil, vælg Egenskaber, klik på ovenstående fane og vælg Kopier eller Gendan, afhængigt af, hvor du gerne vil genoprette.
Ovenstående proces kan gøres automatisk med et værktøj, der kaldes ShadowExplorer. Den gør stort set nøjagtigt det samme (henter Shadow Volume kopier), men på en mere praktisk måde. Hent og installer derefter programmet, kør det og gennemse filer og mapper, hvor du ønsker at genoprette tidligere versioner. For at få det ordnet, skal du højre-klikke på forskellige filer og vælg Export funktionen.
Det skal siges igen, at malware fjernelse alene ikke fører til dekryptering af dine personlige filer. De data gendannelsesmetoder, der er fremhævet ovenfor, kan måske – eller måske ikke – løse problemet, men uanset hvad hører selve ransomwaren ikke til inden i din computer. Faktisk er den ofte ledsaget af andre malware programmer, hvilket er grunden til, at det helt sikkert giver mening at scanne systemet gentagne gange med automatisk sikkerhedssoftware for at sikre, at der ikke er nogen rester af denne virus og tilknyttede trusler tilbage i Windows Registreringsdatabase og andre steder.