Remoção de vírus Arena

A nova identidade do ransomware Crysis foi lançada, a qual adiciona a extensão .arena aos dados encriptados e implementa ainda uma encriptação protegida.

O que é o vírus Arena?

A estirpe do ransomware de encriptação conhecida como Crysis, ou Dharma, pareça estar a preparar-se para crescer. Tem dispersado descendentes maliciosos quase semanalmente desde o início de agosto de 2017, tendo estado anteriormente estagnada durante vários meses. O mais recente rebento trouxe ao mundo da extorsão digital a extensão de ficheiro .arena. Após encriptar os dados pessoais de uma vítima, o mod do Crysis acrescenta aos nomes originais dos ficheiros uma série de variante específica com o formato seguinte: id-{ID da vítima}.[chivas@aolonline.top].arena. O elemento variável é um identificador único que é atribuído ao utilizador infetado. Consiste em oito carateres hexadecimais. Em última instância, o ransomware transforma um ficheiro com o nome Sample.docx em algo como Sample.docx.id-CFABE140.[chivas@aolonline.top].arena.

Arquivos criptografados com a extensão .arena

O endereço de email facultado entre parêntesis retos poderá também variar, já que vai ao encontro dos detalhes de contato de um atacante em específico. A questão é que o ransomware Crysis/Dharma está a ser distribuído por vários círculos de criminosos cibernautas que levam a cabo campanhas independentes, ou seja, a informação de contato difere entre grupos. Alguns dos emails mais reportados, além do supracitado, incluem m.heisenberg@aol.com, macgregor@aolonline.top, black.mirror@qq.com, btc2017@india.com, gladius_rectus@aol.com, sindragosa@bigmir.net, sir.dragcsa@bigmir.net, e mandanos@foxmail.com. Qualquer pessoa que se veja confrontada com esta estirpe de malware de encriptação de ficheiros poderá obter algumas pistas sobre o que fazer a seguir, pelo menos no que concerne a entrar em contato com os autores da ameaça através de email.

Info.hta nota de resgate por Arena

A interação com a vítima, sendo feita somente através dos componentes do nome do ficheiro é, contudo, obviamente escassa. Portanto o ransomware Arena espalha também notas de resgate ao longo do sistema contaminado. Tratam-se de ficheiros com instruções detalhadas sobre como pagar o resgate e restaurar os dados malogrados. A versão Crysis aqui abordada utiliza, para este fim, a seguinte combinação: Info.hta e FILES ENCRYPTED.txt. O último afirma, literalmente, que “Todos os seus dados foram por nós bloqueados. Quer tê-los de volta? Escreva um email para chivas@aolonline.top,” ou qualquer que seja o endereço. O outro ficheiro, o HTA, é exibido automaticamente devido a uma tarefa de execução automática e inclui muito mais informação do que o seu comparsa TXT. Pode-se ler, “Todos os seus ficheiros foram encriptados devido a um problema de segurança com o seu PC. Se quiser restaurá-los, escreva-nos para o email.” No final de contas, a vítima é instruída a escrever uma mensagem para os crápulas, fazendo menção à sua identificação pessoal no título do email. Os criminosos depois respondem ao utilizador com o valor do resgate e o endereço da carteira de Bitcoin para a qual deve enviá-lo.

A variante do ficheiro .arena do ransomware Crysis propaga-se maioritariamente através dos serviços da área de trabalho remota, os quais são pirateados. Muitas pessoas utilizam credenciais RDP padrão ou ridiculamente fáceis de adivinhar, e os perpetradores online têm plena consciência disso. Ao entrarem num sistema, a infeção tenta eliminar as cópias sombra dos ficheiros da vítima para evitar a hipótese de recuperação. Para piorar, a peste coloca em ação as melhores práticas de encriptação de dados, portanto não existe qualquer forma de desencriptar os ficheiros de forma gratuita. Contudo, no caso de o vírus Arena não conseguir desabilitar o VSS, existem hipóteses de que alguns ficheiros possam ser restaurados para o seu estado normal. Veja abaixo mais detalhes.

Remoção automática do arquivo de vírus Arena

O extermínio desse ransomware pode ser eficientemente acompanhado por um fidedigno software de segurança. Apostar nessa técnica automática de limpeza garante que todos os componentes da infeção são amplamente removidos do seu sistema.

  • Baixe o serviço de segurança recomendando e verifique o seu PC à procura de objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus de ficheiro .arena

  • A verificação virá acompanhada de uma lista de itens detetados. Clique Consertar Ameaças (Fix Threats) para que as infeções relacionadas com vírus sejam removidas do seu sistema. Completar essa fase de limpeza irá provavelmente fazer com que a praga seja correta e totalmente eliminada. Agora está enfrentando um desafio ainda maior – tentar e recuperar seus dados.

Métodos para restaurar os arquivos .arena encriptados

Solução 1: Utilizar o software de recuperação de arquivos

É importante saber que os vírus Arena criam cópias dos seus arquivos, encriptando-os. Entretanto, os arquivos originais são deletados. Existem aplicativos que restauram os dados removidos. Você pode utilizar ferramentas como o Data Recovery Pro para essa finalidade. A mais recente versão desse ransomware que está sendo analisado tende a aplicar uma eliminação eficaz com várias gravações, mas em qualquer caso vale a pena testar esse método.
Baixar Data Recovery Pro

Solução 2: Utilize cópias de segurança

Primeiro, e acima de tudo, essa é uma ótima forma de recuperar os seus arquivos. Só é contudo aplicável você tiver copiado informação ao longo dos tempos na sua máquina. Caso você o tenha feito, não evite em tirar partido de sua prevenção.

Solução 3: Utilize as Cópias Sombra de Pastas

Caso não saiba, o sistema operativo cria as denominadas Cópias Sombra de Pastas de cada arquivo, desde que o Restauro de Sistema esteja ativado no computador. Quando os pontos de restauro são criados em intervalos específicos, são também gerados cópias dos arquivos no momento em que eles são gerados. Lembre-se de que esse método não garante a recuperação das versões mais recentes dos seus arquivos. No entanto, vale a pena testá-lo. Esse fluxo de trabalho é feito de duas formas: manualmente e através da utilização de uma solução automática. Vamos primeiro dar ver o processo manual.

  • Usar a opção de Versões anteriores

    A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperadoVersões Anteriores

  • Aplique o ShadowExplorer

    O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção ExportShadowExplorer

Verifique se o ransomware Arena foi totalmente removido

Mais uma vez, a remoção do malware apenas não leva à decriptação de seus arquivos pessoais. Os métodos de restauro de dados descritos acima podem ou não conseguir o que pretende, mas o ransomware em si mesmo não é um elemento que deva estar no seu computador. Acidentalmente, por vezes ele faz-se acompanhar de outro malware, fazendo por isso todo o sentido executar verificações repetidas ao sistema, usando um software automático de segurança, a fim de ter a certeza de que nenhuns elementos nocivos remanescentes do vírus, e respetivas ameaças associadas, permanecem no Registro do Windows e noutras localizações.

Baixe o verificador e removedor do ransomware Arena