Vírus ransomware Arena - Como remover?

 

Parece que o vírus ransomware Arena é uma versão nova e melhorada da infeção Crysis ou ransomware Dharma . Foi descoberto por um investigador de ransomware famoso Michael Gillespie e publicado em Twitter post.

Ainda que alguns investigadores de segurança cibernética considerem o ransomware Arena como sendo uma nova versão do vírus Dharma, outros dizem que é o mesmo vírus com apenas um nome e extensão de ficheiro diferente. De uma forma ou de outra, o vírus é extremamente perigoso e pode causar-lhe muitos problemas.


Processo de encriptação do ransomware Arena

Esta amostra de malware pode entrar no computador como um anexo a um e-mail de spam ou como parte do pacote de algum software gratuito de reputação questionável. Quando está dentro do computador, executa um exame de todos os ficheiros armazenados num disco rígido – da mesma forma que um software antivírus. Contudo, o propósito deste exame é completamente o oposto – o ransomware Arena identifica ficheiros que podem ser bloqueados e encripta-os utilizando uma criptografia única. Basicamente qualquer ficheiro que utilize diariamente pode ser encriptado – ficheiros de foto, vídeo e áudio, documentos de texto e por aí adiante.

Assim que todos os ficheiros estiverem bloqueados, irá reparar que o nome de cada ficheiro armazenado no seu disco rígido foi alterado. Isso é porque o ransomware Arena irá adicionar uma extensão personalizada a todos eles. Esta extensão é bastante incomum – .id-[id].[email].arena. Então, por exemplo, se tivesse um ficheiro chamado ‘holidays.jpg’, agora iria ter este aspeto: ‘holidays.jpg..id-[id].[email].arena’. E a partir deste momento será incapaz de abrir este ficheiro. Irá também executar uma ordem ‘vssanub delete shadows /all /quiet’ de forma a remover todas as cópias de volume sombra do seu computador para que não seja capaz de restaurar ficheiros bloqueados a partir de um backup.

Após a encriptação estar feita, dois ficheiros irão ser automaticamente descarregados para o seu computador – ‘info.hta’ e ‘files encrypted.txt’. O primeiro irá ser colocado e automaticamente aberto no seu ambiente de trabalho, enquanto que o segundo irá ser colocado em cada pasta do seu computador. ‘files encrypted.txt’ é apenas uma mensagem curta dizendo que os seus ficheiros foram encriptados e que deve contactar o cripto-email chivas@aolonline.top. Texto original desta mensagem:

Todos os seus dados foram bloqueados nós

Quer voltar?

Escreva e-mail chivas@aolonline.top

O outro ficheiro contém informações detalhadas sobre o que aconteceu e o que deve fazer de seguida. Texto original do ficheiro ‘info.hta’:

Todos os seus ficheiros foram encriptados! Todos os seus ficheiros foram encriptados devido a problemas de segurança com o seu PC. Se quiser restaura-los, escreva-nos um e-mail para chivas@aolonline.top. Escreva este ID no título da sua mensagem [id] No caso de não obter resposta em 24 horas escreva-nos para estes e-mails: chivas@aolonline.top. Tem de pagar pela desencriptação em Bitcoins. O preço depende da rapidez com que nos escreve. Após o pagamento iremos enviar-lhe a ferramenta de desencriptação que irá desencriptar todos os seus ficheiros. Desencriptação gratuita como garantia antes de pagar pode enviar-nos até 5 ficheiros para desencriptação gratuita. O tamanho total dos ficheiros deve ser inferior a 10Mb (não arquivados), e os ficheiros não devem conter informação valiosa. (databases,backups, large excel sheets, etc.) Como obter Bitcoins A maneira mais fácil de comprar Bitcoins é o site LocalBitcoins. Tem de se registar, clicar em ‘Comprar bitcoins’, e selecionar o vendedor através de método de pagamento e preço. https://localbitcoins.com/buy_bitcoins Também pode encontrar outros lugares para comprar Bitcoins e um guia para iniciantes aqui: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Atenção! Não mude o nome de ficheiros encriptados. Não tente desencriptar a sua informação usando software de terceiros, isso pode causar perda de dados permanente. A desencriptação dos seus ficheiros com a ajuda de terceiros pode causar um aumento no preço (eles adicionam o seu custo ao nosso) ou pode tornar-se vítima de uma burla.

Como pode ver, os criminosos cibernéticos por detrás do vírus ransomware Arena oferecem-se para que lhes enviemos até 5 ficheiros encriptados para eles poderem enviar-lhe as versões desencriptadas desses ficheiros e provar-lhe que eles têm o poder de o fazer e encorajá-lo desta forma a pagar o resgate. Não é claro quanto é que terá de pagar, mas normalmente é cerca de $500 – $1500 USD.

Como resolver o problema ransomware Arena?

Apesar de ser possível desencriptar ficheiros encriptados pelo ransomware Crysis, não está disponível para o Arena e essa é a principal razão pela qual não achamos que é exatamente o mesmo vírus. Infelizmente, não há forma de desencriptar os ficheiros bloqueados pelo ransomware Arena. Independentemente desse facto, deve remover este vírus do seu computador. Isso pode ser feito usando software anti-malware. Conforme é visto no report by VirusTotal, a maioria de programas anti-malware são capazes de detetar este vírus. Contudo, recomendamos que utilize ou Reimage ou SpyHunter para esta tarefa uma vez que esses programas provaram ser muito eficientes no que toca a lidar com ransomware como este. Finalmente, se conseguir aceitar a perda dos seus ficheiros pessoais, pode simplesmente reinstalar de forma limpa o seu sistema operativo.

Atualização Outubro 2017: foi reportado que os utilizadores pela web conseguiram desencriptar ficheiros encriptados com o vírus ransomware Arena usando Free Avast Ransomware removal tool. Deve optar pela versão CryptoMix (offline) e tentar carregar ficheiros encriptados para um desencriptador. Não podemos garantir que isto funcione, mas hey – é grátis e definitivamente vale a pena tentar.

Como remover Vírus ransomware Arena usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos


para Windows 7 / Vista/ XP
  • Iniciar → Encerrar → Reiniciar → OK.
  • Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
  • Escolha o Modo de Segurança com Janela de Comandos. Windows 7 enter safe mode

para o Windows 8 / 10
  • Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar. Windows 8-10 restart to safe mode
  • Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
  • Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque. Windows 8-10 enter safe mode

Restaurar os ficheiros e definições de Sistema.
  • Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
  • Depois digite rstrui.exe e pressione Enter novamente. CMD commands
  • Clique em “Próximo” na janela que apareceu.. Restore point img1
  • Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.Restore point img2
  • Para arrancar com o sistema clique em “Sim”. Restore point img3

2. Remoção complete do Vírus Arena

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Reimage, Spyhunter e remova todos os ficheiros maliciosos relacionados com Arena Crysis.


3. Restaure os ficheiros afetados pelo Vírus ransomware Arena usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Vírus Arena tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

Previous version
b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.
Shadow explorer

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas para remoção automática de Vírus ransomware Arena

 
  Baixar Reimage para Vírus Arena detecçãoNota: julgamento Reimage fornece detecção de parasita como Vírus Arena e auxilia na sua remoção de forma gratuita. Você pode remover os arquivos detectados, processos e entradas de registro você mesmo ou comprar uma versão completa.
  We might be affiliated with some of these programs. Full information is available in disclosure

Remoção manual Vírus ransomware Arena

 
Processos:
Extensions:
           
     

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *