Remoção de vírus ransomware Cesar

Este artigo faculta detalhes abrangentes sobre a nova variante de ransomware Crysis / Dharma que adiciona a extensão .aren, .cesar ou .cezar aos ficheiros encriptados.

O que é o ransomware Arena/Cesar?

O ransomware Crysis, antigamente conhecido por Dharma, acordou subitamente após vários meses de inatividade. Além disso, essa paragem foi acompanhada por uma descarga anónima de várias chaves master de desencriptação no final de maio de 2017. Apesar de situações como essa terem tendência para revelar que uma campanha está prestes a chegar ao seu final, alguém no submundo do crime cibernético deverá ter tido uma opinião diferente, obviamente. O mais recente surto da onda do ransomware Crysis / Dharma envolve uma variante que malogra os ficheiros codificados do utilizador com a extensão .arena. Alguns dos mais recentes relatórios revelaram também a versão do ficheiro .cesar/.cezar. Esta série, contudo, é só parte da extensão concatenada. É precedida pela identificação da vítima e pelo endereço de email de contato daqueles que perpetraram o ataque, para o que o utilizador infetado receba de chofre algumas pistas sobre a desencriptação de dados.

Info.hta nota de resgate

O lado positivo deste fluxo de alteração de dados é que um nome arbitrário de ficheiro fica concatenado juntamente com o código da extensão no seguinte formato: id-{8-char victim ID}.[endereço de email].cesar. Por exemplo, um item com o nome Coffee.jpg irá metamorfosear-se em algo como Coffee.jpg.id-C21FD978.[m.heisenberg@aol.com].cesar. Tenha em atenção que a parte do email poderá variar. Além daquela supracitada, poderá ser black.mirror@qq.com, gladius_rectus@aol.com, ou btc2017@india.com. O endereço de email variável provavelmente denota um ‘afiliado’ específico que foi capaz de depositar o código executante no computador. Concomitantemente, existem diferentes grupos de patifes cibernautas que distribuem a edição ransomware Arena do Crysis.

Em oposição à maioria das estirpes de encriptação de ficheiros existentes, que se espalha através de spam maliciosos, o vírus Cesar propaga-se através do Protocolo de Desktop Remoto. Os atacantes efetuam um ataque bruto às credenciais do PDR a fim de se infiltrarem remotamente nos sistemas. Desta forma, executam o código aleatório nos computadores comprometidos. No caso do Arena, o processo que despoleta problemas tem o nome de bars.exe. Quando colocado numa máquina, este ficheiro executável elimina as Cópias Sombra dos ficheiros da vítima e adiciona um valor de registo a ser executado quando o SO é iniciado. Depois, o ransomware analisa a unidade local e as unidades removíveis, se existirem, à procura de uma lista predefinida de formatos de dados. Encripta cada ficheiro detetado durante esta análise.

Apesar de a extensão anexada a todos os ficheiros sequestrados ser bastante explícita em relação àquilo que o utilizador deve fazer, o vírus Cesar também coloca no ambiente de trabalho uma nota de resgate com o nome Info.hta. De acordo com esta nota, a vítima tem de enviar uma mensagem para o endereço de email indicado nos parenteses retos que precedem a parte .cesar da extensão do ficheiro. O utilizador malogrado recebe instruções para incluir a sua identificação pessoal neste email. Os criminosos responderão com o valor do resgate e o endereço da carteira Bitcoin para a qual deve enviar. Como garantia de que a ferramenta de desencriptação irá funcionar, todos os extorsionistas podem alegadamente restaurar até três ficheiros cujo tamanho ideal não excede os 10 MB. Resumindo, em vez de confiar nas promessas dos maus da fita e percorrer o doloroso processo de pagamento, comece com a opção alternativa de restauração de dados mostrada abaixo.

Remoção automática do arquivo de vírus Arena

O extermínio desse ransomware pode ser eficientemente acompanhado por um fidedigno software de segurança. Apostar nessa técnica automática de limpeza garante que todos os componentes da infeção são amplamente removidos do seu sistema.

  • Baixe o serviço de segurança recomendando e verifique o seu PC à procura de objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)

Descarregue o eliminador do vírus de ficheiro .cesar

  • A verificação virá acompanhada de uma lista de itens detetados. Clique Consertar Ameaças (Fix Threats) para que as infeções relacionadas com vírus sejam removidas do seu sistema. Completar essa fase de limpeza irá provavelmente fazer com que a praga seja correta e totalmente eliminada. Agora está enfrentando um desafio ainda maior – tentar e recuperar seus dados.

Métodos para restaurar os arquivos .arena/.cesar/.cezar encriptados

Solução 1: Utilizar o software de recuperação de arquivos

É importante saber que os vírus Arena criam cópias dos seus arquivos, encriptando-os. Entretanto, os arquivos originais são deletados. Existem aplicativos que restauram os dados removidos. Você pode utilizar ferramentas como o Data Recovery Pro para essa finalidade. A mais recente versão desse ransomware que está sendo analisado tende a aplicar uma eliminação eficaz com várias gravações, mas em qualquer caso vale a pena testar esse método.
Baixar Data Recovery Pro

Solução 2: Utilize cópias de segurança

Primeiro, e acima de tudo, essa é uma ótima forma de recuperar os seus arquivos. Só é contudo aplicável você tiver copiado informação ao longo dos tempos na sua máquina. Caso você o tenha feito, não evite em tirar partido de sua prevenção.

Solução 3: Utilize as Cópias Sombra de Pastas

Caso não saiba, o sistema operativo cria as denominadas Cópias Sombra de Pastas de cada arquivo, desde que o Restauro de Sistema esteja ativado no computador. Quando os pontos de restauro são criados em intervalos específicos, são também gerados cópias dos arquivos no momento em que eles são gerados. Lembre-se de que esse método não garante a recuperação das versões mais recentes dos seus arquivos. No entanto, vale a pena testá-lo. Esse fluxo de trabalho é feito de duas formas: manualmente e através da utilização de uma solução automática. Vamos primeiro dar ver o processo manual.

  • Usar a opção de Versões anteriores

    A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperadoVersões Anteriores

  • Aplique o ShadowExplorer

    O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção ExportShadowExplorer

Verifique se o ransomware Cesar foi totalmente removido

Mais uma vez, a remoção do malware apenas não leva à decriptação de seus arquivos pessoais. Os métodos de restauro de dados descritos acima podem ou não conseguir o que pretende, mas o ransomware em si mesmo não é um elemento que deva estar no seu computador. Acidentalmente, por vezes ele faz-se acompanhar de outro malware, fazendo por isso todo o sentido executar verificações repetidas ao sistema, usando um software automático de segurança, a fim de ter a certeza de que nenhuns elementos nocivos remanescentes do vírus, e respetivas ameaças associadas, permanecem no Registro do Windows e noutras localizações.

Baixe o verificador e removedor do ransomware Dharma