Es wurde eine neue Inkarnation der Crysis-Ransomware veröffentlicht, welche die Erweiterung .arena an verschlüsselte Daten anhängt und die Verschlüsselung immer noch sicher implementiert.
Die Krypto-Ransomware Brut, bekannt als Crysis oder Dharma, scheint sich für einen Wiederaufstieg aufzustellen. Es hat seit Anfang August 2017 fast wöchentlich bösartige Nachkommen hervorgebracht, nachdem es monatelang in einem untätigen Zustand verharrte. Der letzte Ableger hat das Dateierweiterungs-Token .arena in die digitale Erpressungsumgebung eingeführt. Nach dem Verschlüsseln der personenbezogenen Daten eines Opfers hängt diese Crysis-Modifizierung Varianten spezifische Zeichenfolge an Original-Dateinamen an, in folgendem Format: id-{Opfer-ID}. [chivas@aolonline.top].arena. Der variable Teil ist eine eindeutige Kennung, die dem infizierten Benutzer zugeordnet ist. Sie besteht aus acht hexadezimalen Zeichen. Letztlich verwandelt die Ransomware eine Datei namens Sample.docx in etwas wie Sample.docx.id-CFABE140.[chivas@aolonline.top].arena.
Die E-Mail Adresse, die in eckigen Klammern angegeben ist, kann auch variieren, da sie mit den Kontaktdaten eines bestimmten Kriminellen übereinstimmt. Die Sache ist, die Crysis / Dharma Ransomware wird von mehreren Cyberkriminalringen verteilt, die unabhängige Kampagnen durchführen, also unterschiedliche Kontaktinformationen jeder Gruppe. Einige der am häufigsten gemeldeten E-Mails, abgesehen von der oben genannten, sind m.heisenberg@aol.com, macgregor@aolonline.top, black.mirror@qq.com, btc2017@india.com, gladius_rectus@aol.com, sindragosa@bigmir.net, sir.dragcsa@bigmir.net und mandanos@foxmail.com. Jeder, der mit dieser Datei-verschlüsselten Malware-Belastung konfrontiert wird, bekommt daher einige Hinweise darauf, was als nächstes zu tun ist, zumindest in Bezug auf die Kontaktaufnahme der Bedrohungsakteure per E-Mail.
Interaktion mit dem Opfer durch Dateinamen-Komponenten allein, ist definitiv selten. So streut die Arena Ransomware auch Rettungsnotizen quer über das kontaminierte System. Dies sind Dateien mit detaillierten Anweisungen zum Bezahlen des Lösegelds und zur Wiederherstellung der verwandelten Daten. Die besagte Crysis-Version verwendet hierfür folgende Kombination: Info.hta und FILES ENCRYPTED.txt. Letzteres sagt: „Alle Ihre Daten sind von uns gesperrt worden. Du möchtest sie wieder zurück? Schreibe eine E-Mail an chivas@aolonline.top“ oder was auch immer die Email Adresse ist. Die vorherige Datei, die .HTA, wird aufgrund einer Autorun-Task automatisch angezeigt und enthält viel mehr Informationen als das TXT-Pendant. Sie lautet: „Alle Ihre Dateien wurden aufgrund eines Sicherheitsproblems mit Ihrem PC verschlüsselt. Wenn Sie sie wiederherstellen wollen, schreiben Sie uns auf die E-Mail. „Am Ende des Tages wird das Opfer angewiesen, eine Nachricht an die Gauner abzusenden und ihre persönliche ID im Betreff Titel der E-Mail anzugeben. Die Verbrecher werden dann mit der Größe des Lösegelds und der Bitcoin Brieftasche Adresse wieder an den Benutzer zurückkommen, um das Geld zu senden.
Die .arena Datei Variante der Crysis-Ransomware verbreitet sich am häufigsten über gehackte Remote-Desktop Dienste. Eine Menge Leute verwenden die Vorgabe oder lächerlich leicht zu erratende RDP Anmeldeinformationen und Online-Täter wissen das definitiv. Nachdem sie in einem System gelandet sind, versucht die Infektion, Schattenkopien der Dateien des Opfers zu löschen, um diesen Träger der Wiederherstellung zu verhindern. Um es zu beenden, nutzt der Schädling bewährte Praktiken der Datenverschlüsselung, so dass es keine Möglichkeit gibt, die Dateien an diesem Punkt kostenlos zu entschlüsseln. Allerdings, falls das Arena-Virus VSS nicht deaktivieren konnte, stehen die Chancen gut, dass einige Dateien in ihren normalen Zustand wiederhergestellt werden können. Siehe unten für weitere Details.
Automatische Entfernung des Arena Ransomware-Virus
Ausrottung dieser Ransomware können effizient mit zuverlässiger Sicherheitssoftware. Das Festhalten an der automatischen Bereinigung Technik sorgt dafür, dass alle Komponenten der Infektion gründlich gewischt bekommen von Ihrem System.
1. Laden Sie den empfohlenen Sicherheits Dienstprogramm herunter und überprüfen Sie den Computer durch einen Klick auf Computer Jetzt Scannen.
Arena Virus Entferner herunterladen
2. Die Messung wird mit einer Liste der gefundenen Objekte. Klicken Sie auf Bedrohungen Beheben, um das Virus und die damit verbundenen Infektionen aus dem System entfernt. Abschluss dieser Phase der Bereinigungsprozess wird höchstwahrscheinlich dazu führen, dass komplette Ausrottung der Seuche. Jetzt sind sie vor eine größere Herausforderung - versuchen Sie es und holen Sie sich Ihre Daten zurück.
Methoden zum Wiederherstellen von verschlüsselten .arena-Dateien
Es wurde bereits erwähnt, dass Arena eine starke Verschlüsselung nutzt um die Dateien nutzlos zu machen, es gibt also keinen Zauber, der die in Kürze rückgängig macht, außer natürlich, der Bezahlung des Lösegeld. Es bestehen jedoch Techniken, die Ihnen bei der Wiederherstellung der wichtigen Dateien helfen können – hier erfahren Sie mehr darüber.
1. Programme zur automatischen Dateiwiederherstellung
Es ist interessant zu wissen, dass Arena die originalen, unverschlüsselten Dateien, löscht. Die Kopien werden von der Ransomware bearbeitet. Aus diesem Grund können Anwendungen wie Stellar Data Recovery die gelöschten Objekte wiederherstellen, auch wenn diese sicher gelöscht wurden. Diese Methode ist die Zeit wert und hat sich Effektivität bewiesen.
Laden Sie Stellar Data Recovery herunter
2. Schattenkopien (Volume Shadow Copies)
Dieser Ansatz nutzt das Windows Backup von Dateien auf dem Computer, die an jedem Wiederherstellungspunkt vorgenommen wird. Eine wichtige Kondition muss jedoch eintreffen: Dies funktioniert wenn die Systemwiederherstellung vor der Infektion aktiviert wurde. Des Weiteren werden Änderungen einer Datei, die nach dem Wiederherstellungspunkt geändert wurde, nicht in der wiederhergestellten Version vorliegen.
- Nutzen Sie das Vorherige Dateiversionen-FeatureDas Windows Betriebssystem bietet die eingebaute Möglichkeit, die vorherige Version von Dateien wiederherzustellen. Dies lässt sich auch auf Ordner anwenden. Rechtsklicken Sie einfach auf eine Datei oder einen Ordner, wählen Sie Eigenschaften und wechseln Sie auf den Vorgängerversionen genannten Tab. Innerhalb dieses Versionsbereiches sehen Sie die Liste der gesicherten Kopien der Datei/des Ordners mit den dazugehörigen Zeit- und Datumsangaben. Wählen Sie den aktuellsten Eintrag und klicken Sie auf Kopieren, falls Sie das Objekt an einen neuen Ort wiederherstellen wollen, den Sie angeben können. Wenn Sie auf den Wiederherstellen-Knopf klicken, wird das Objekt an seinem ursprünglichen Ort wiederhergestellt.
- Nutzen Sie das Shadow Explorer-Werkzeug Dieser Weg erlaubt es Ihnen, vorherige Versionen von Dateien und Ordnern auf automatische Weise statt von Hand wiederherzustellen. Laden Sie dafür die Shadow Explorer-Anwendung herunter und installieren Sie sie. Nachdem Sie sie gestartet haben, wählen Sie den Laufwerksnamen und das Datum der angelegten Dateiversionen. Rechtsklicken Sie auf den betroffenen Ordner oder die Datei und wählen Sie die Export-Option. Geben Sie dann einfach den Ort an, an welchen die Daten wiederhergestellt werden sollen.
3. Datensicherungen
Aus allen Möglichkeiten die nicht mit der Ransomware in Verbindung stehen, ist die beste Option eine Datensicherung. Im Falle einer existierenden Datensicherung auf einem externen Server vor der Ransomware Infektion auf Ihrem PC können die von Arena verschlüsselten Dateien auf diesem Weg wiederhergestellt werden. Melden Sie sich hierzu auf der jeweiligen Benutzeroberfläche an, wählen die Dateien und leiten die Wiederherstellung der Dateien ein. Stellen Sie vorher jedoch sicher, dass Sie die Ransomware komplett von Ihrem Computer entfernt haben.
Verifizieren Sie, ob die Arena-Virus vollständig entfernt worden ist
Noch einmal, die Entfernung der Ransomware alleine wird nicht zur Entschlüsselung Ihrer persönlichen Dateien führen. Die Datenwiederherstellungsmethoden, die oben hervorgehoben wurden, könnten zum gewünschten Ergebnis führen, aber die Ransomware selbst gehört nicht ins Innere Ihres Computers.
Im Übrigen kommt es oft mit anderer Malware zusammen, daher ist es sinnvoll, auf jeden Fall immer wieder das System mit automatischer Sicherheitssoftware zu scannen, um sicherzustellen, dass innerhalb der Windows Registry und an anderen Orten keine schädlichen Reste des Virus und den damit verbundenen Bedrohungen mehr übrig sind.
Laden Sie den Arena Ransomware Scanner und Entferner herunter