Este artigo faculta detalhes abrangentes sobre a nova variante de ransomware Crysis / Dharma que adiciona a extensão .aren, .cesar ou .cezar aos ficheiros encriptados.

O que é o ransomware Arena/Cesar?

O ransomware Crysis, antigamente conhecido por Dharma, acordou subitamente após vários meses de inatividade. Além disso, essa paragem foi acompanhada por uma descarga anónima de várias chaves master de desencriptação no final de maio de 2017. Apesar de situações como essa terem tendência para revelar que uma campanha está prestes a chegar ao seu final, alguém no submundo do crime cibernético deverá ter tido uma opinião diferente, obviamente. O mais recente surto da onda do ransomware Crysis / Dharma envolve uma variante que malogra os ficheiros codificados do utilizador com a extensão .arena. Alguns dos mais recentes relatórios revelaram também a versão do ficheiro .cesar/.cezar. Esta série, contudo, é só parte da extensão concatenada. É precedida pela identificação da vítima e pelo endereço de email de contato daqueles que perpetraram o ataque, para o que o utilizador infetado receba de chofre algumas pistas sobre a desencriptação de dados.

O lado positivo deste fluxo de alteração de dados é que um nome arbitrário de ficheiro fica concatenado juntamente com o código da extensão no seguinte formato: id-{8-char victim ID}.[endereço de email].cesar. Por exemplo, um item com o nome Coffee.jpg irá metamorfosear-se em algo como Coffee.jpg.id-C21FD978.[m.heisenberg@aol.com].cesar. Tenha em atenção que a parte do email poderá variar. Além daquela supracitada, poderá ser black.mirror@qq.com, gladius_rectus@aol.com, ou btc2017@india.com. O endereço de email variável provavelmente denota um ‘afiliado’ específico que foi capaz de depositar o código executante no computador. Concomitantemente, existem diferentes grupos de patifes cibernautas que distribuem a edição ransomware Arena do Crysis.

Em oposição à maioria das estirpes de encriptação de ficheiros existentes, que se espalha através de spam maliciosos, o vírus Cesar propaga-se através do Protocolo de Desktop Remoto. Os atacantes efetuam um ataque bruto às credenciais do PDR a fim de se infiltrarem remotamente nos sistemas. Desta forma, executam o código aleatório nos computadores comprometidos. No caso do Arena, o processo que despoleta problemas tem o nome de bars.exe. Quando colocado numa máquina, este ficheiro executável elimina as Cópias Sombra dos ficheiros da vítima e adiciona um valor de registo a ser executado quando o SO é iniciado. Depois, o ransomware analisa a unidade local e as unidades removíveis, se existirem, à procura de uma lista predefinida de formatos de dados. Encripta cada ficheiro detetado durante esta análise.

Apesar de a extensão anexada a todos os ficheiros sequestrados ser bastante explícita em relação àquilo que o utilizador deve fazer, o vírus Cesar também coloca no ambiente de trabalho uma nota de resgate com o nome Info.hta. De acordo com esta nota, a vítima tem de enviar uma mensagem para o endereço de email indicado nos parenteses retos que precedem a parte .cesar da extensão do ficheiro. O utilizador malogrado recebe instruções para incluir a sua identificação pessoal neste email. Os criminosos responderão com o valor do resgate e o endereço da carteira Bitcoin para a qual deve enviar. Como garantia de que a ferramenta de desencriptação irá funcionar, todos os extorsionistas podem alegadamente restaurar até três ficheiros cujo tamanho ideal não excede os 10 MB. Resumindo, em vez de confiar nas promessas dos maus da fita e percorrer o doloroso processo de pagamento, comece com a opção alternativa de restauração de dados mostrada abaixo.

Remoção automática do arquivo de vírus Arena

O extermínio deste ransomware pode ser eficientemente realizado com software de segurança de confiança. Ao ficar-se pela técnica de limpeza automática, garante que todos os componentes da infeção serão completamente erradicados do seu sistema.

• Efetue o download recomendado serviço de segurança e verifique o seu PC para ver se existem objetos maliciosos ao selecionar a opção Iniciar Verificação do Computador (Start Computer Scan)

• A verificação irá fornecer uma lista de itens detetados. Clique em Consertar Ameaças (Fix Threats) para remover o vírus e infeções relacionadas do seu sistema. Ao completar esta fase do processo de limpeza é bastante provável que a praga seja completamente erradicada. Agora terá de enfrentar um desafio maior - tentar obter os seus dados de volta.

Métodos para restaurar os arquivos .arena/.cesar/.cezar encriptados

Já foi mencionado que o Cesar aplica uma forte encriptação para tornar os seus ficheiros inacessiveis, por isso não há nenhuma varinha mágica que restaure todos os dados encriptados num piscar de olhos, excepto claro quando se sujeita ao impensável ransomware. Existem no entanto técnicas, que o podem ajudar a recuperar todas as coisas que são importantes para si – aprenda quais.

1. Software de recuperação de ficheiros automático

É relativamente interessante saber que o Cesar apaga os ficheiros originais num formato não encriptado. É apenas nas cópias que acontece o processo de encriptação e se processa o ransomware. Por isso ferramentas como Stellar Data Recovery podem restaurar os objetos eliminados mesmo que estes tenham sido removidos de forma segura. Esta alternativa vale definitivamente a pena pois fornece uma solução verdadeiramente eficaz.

Baixar Stellar Data Recovery Professional

2. Cópias de Volume Sombra

Esta opção apoia-se no ficheiro nativo de backups do Windows que opera no seu computador, e que é executado a cada ponto de restauro. Há uma importante condição neste método: este funciona se a funcionalidade de Restauro de Sistema estiver ativa antes da contaminação. Adicionalmente, se as alterações forem feitas a um ficheiro após o ponto de restauro mais recente, estas não se irão refletir na versão do ficheiro recuperado.

• Usar a opção de Versões anteriores A caixa de Propriedades para ficheiros aleatórios tem uma aba chamada de Versões anteriores. Esse é o local onde estão as versões em cópia de segurança e a partir das quais pode recuperar o sistema. Por isso, clique com o botão direito do rato num ficheiro, vá a Propriedades, carregue na aba descrita e escolha a opção Copiar ou Restaurar, dependendo da localização para a qual gostaria de ter tudo recuperado
• Aplique o ShadowExplorer O processo acima pode ser automatizado com uma ferramenta chamada de ShadowExplorer. Basicamente, faz a mesma coisa (extraindo Cópias de Volume Ocultas), mas de uma forma mais conveniente. Por isso, descarregue e instale a aplicação, execute-a e navegue até aos ficheiros e pastas cujas versões anteriores pretende que sejam restauradas. Para concluir a tarefa, basta clicar com o botão direito do rato em qualquer uma das entradas e escolher a opção Export

3. Cópias de Segurança

De todas as opções que não são relacionadas com ransomware, esta é uma das mais eficientes. Na eventualidade de ter feito backups da sua informação para um servidor externo antes do ransomware aparecer no seu PC, restaurar os ficheiros encriptados pelo Cesar é tão simples quanto entrar no seu respetivo interface, selecionar os ficheiros certos e iniciar o processo de restauro. Antes de o fazer deve no entanto ter a completa certeza que removeu por completo o vírus de ransomware do seu computador.

Verifique se o ransomware Cesar foi totalmente removido

Mais uma vez importa dizer que a remoção do malware por si só não conduz à decriptação dos seus ficheiros pessoais. Os métodos de restauração de dados destacados acima poderão ou não consegui-lo, mas o ransomware em si não deve fazer parte do seu computador.

Incidentalmente, ele muitas vezes faz-se acompanhar por malware, ou seja, faz todo o sentido verificar repetidamente o sistema com um software automático de segurança a fim de garantir que não sobram elementos perniciosos do vírus, nem que haja ameaças a ele associadas no Windows Registry e noutras localizações.