Ha sido lanzado una Nueva Persona del ransomware Crysis que agrega la extensión .arena a los datos cifrados y aun así lleva a cabo el cifrado de forma segura.
¿Qué es el ransomware Arena?
La clase de ransomware crypto es conocida como Crysis, o Dharma, parece estarse preparando para un crecimiento. Ha estado reproduciendo descendientes maliciosos casi semanalmente desde inicios de Agosto del 2017, habiendo estado inactivo durante meses. La última ramificación ha introducido la aplicación de la extensión del archivo .arena al entorno de extorsión digital. Después de cifrar los datos personales de una víctima, esta modificación de Crysis añade los nombres de archivos originales con una cadena específica de variante en el siguiente formato: id- {ID de la víctima}.[chivas@aolonline.top].arena. La parte variable es un identificador único asignado al usuario infectado. Consta de ocho caracteres hexadecimales. Finalmente, el ransomware convierte un archivo llamado Sample.docx en algo como Sample.docx.id-CFABE140.[chivas@aolonline.top].arena.
La dirección de correo electrónico proporcionada entre corchetes, también puede variar, ya que coincide con los detalles de contacto de un atacante específico. El caso es que el ransomware Crysis/ Dharma está siendo distribuido por varios círculos de ciberdelincuentes que ejecutan campañas independientes, de ahí la información de contacto diferente de cada grupo. Algunos de los correos electrónicos más extensamente reportados, aparte del mencionado anterior, incluyen m.heisenberg@aol.com, macgregor@aolonline.top, black.mirror@qq.com, btc2017@india.com, gladius_rectus@aol.com, sindragosa@bigmir.net, sir.dragcsa@bigmir.net y mandanos@foxmail.com. Cualquier persona confrontada con esta tensión del cifrado de archivos malware obtiene algunas pistas sobre qué hacer después, por lo menos en términos de contactar a los actores de amenazas por correo electrónico.
Sin embargo, la interacción de las víctimas a través de los componentes del nombre del archivo es definitivamente escasa. Por lo que, el ransomware Arena también esparce las notas de rescate a través del sistema contaminado. Estos son archivos con instrucciones detalladas sobre el pago del rescate y la restauración de los datos sesgados. La versión de Crysis mencionada utiliza el siguiente combo para este propósito: Info.hta y FILES ENCRYPTED.txt. Este último literalmente dice, “Hemos bloqueado todos sus datos ¿Quiere recuperarlos? Escriba un correo electrónico a chivas@aolonline.top”, o sea cual sea la dirección. Este último archivo, el HTA, se muestra automáticamente debido a una tarea de ejecución automática e incluye mucha más información que la contraparte TXT. Lee, “Todos sus archivos se han cifrados debido a un problema de seguridad con su PC. Si desea restaurarlos, escríbanos al correo electrónico”. Al final del día, se le indica a la víctima a lanzarle un mensaje a los ladrones, indicando su identificación personal en el título del correo electrónico. Luego los delincuentes le dirán al usuario el tamaño del rescate y la dirección de la cartera de Bitcoin para enviarles el dinero.
La variante del archivo .arena del ransomware Crysis se propaga más comúnmente a través de los servicios de equipos escritorio hackeados de forma remota. Muchas personas usan las credenciales RDP predeterminadas o ridículamente fáciles de adivinar, y los perpetradores en línea definitivamente lo saben. Después de haber llegado a un sistema, la infección intenta eliminar las copias instantaneas de los archivos de la víctima con el fin de evitar este vector de recuperación. Para rematar, la plaga aprovecha las mejores prácticas de cifrado de datos, por lo que no hay forma de descifrar los archivos de forma gratuita en este momento. Sin embargo, en caso de que el virus Arena no pueda deshabilitar el VSS, es probable que algunos archivos puedan ser restaurados a su estado normal. Vea más abajo para mayores detalles.
¿Cómo remover del virus ransomware Arena / Crysis?
Eliminación automática del virus con la extensión .arena
La exterminación de este ramsomware puede conseguirse de forma efectiva con un software de seguridad de confianza. Atenerse a la técnica de limpieza automática asegura que todos los componentes de la infección son eliminados completamente de su sistema.
- y haga que su PC sea comprobado en busca de objetos maliciosos, seleccionando la opción .
- El escaneo mostrará una lista de elementos detectados. Haga clic en Solucionar Amenazas para hacer que el virus y las infecciones relacionadas sean eliminadas de su sistema. Completar esta fase del proceso de limpieza probablemente lleve a la erradicación total de la plaga apropiadamente. Ahora se enfrenta a una dificultad mayor – intentar recuperar sus datos.
Métodos para restaurar archivos encriptados por Arena
Solución 1: Utilizar software recuperador de archivos
Es importante saber que el ransomware Arena crea copias de sus archivos y los encripta. Mientras tanto, los archivos originales se eliminan. Hay aplicaciones por ahí que pueden restaurar los datos eliminados. Puede utilizar herramientas como Stellar Data Recovery para este propósito. La versión más nueva del ransomware bajo consideración tiende a aplicar la supresión segura con varias sobrescritura, pero en cualquier caso, este método vale la pena intentarlo.
Descargar Stellar Data Recovery
Solución 2: hacer uso de copias de seguridad
En primer lugar, esta es una gran manera de recuperar sus archivos. Sin embargo, sólo es aplicable si ha realizado copias de seguridad de la información almacenada en su máquina. Si es así, no deje de beneficiarse de su previsión.
Solución 3: Utilizar copias de volumen de sombra
En caso de que no lo supiera, el sistema operativo crea las llamadas copias de volumen de sombra de cada archivo, siempre y cuando la restauración del sistema esté activada en el equipo. A medida que se crean puntos de restauración a intervalos especificados, también se generan instantáneas de los archivos a medida que aparecen en ese momento. Tenga en cuenta que este método no garantiza la recuperación de las últimas versiones de sus archivos. Sin duda merece la pena un tiro. Este flujo de trabajo es factible de dos maneras: manualmente y mediante el uso de una solución automática. Primero echemos un vistazo al proceso manual.
- Utiliza las Versiones anteriores
El sistema operativo de Windows proporciona una opción integrada de recuperar versiones anteriores de los archivos. Que también puede aplicarse a las carpetas. Simplemente haz clic derecho sobre un archivo o carpeta, selecciona Propiedades y pulsa la pestaña llamada Versiones anteriores. Dentro del área de versiones, verás la lista de copias de seguridad del archivo / carpeta, con su tiempo respectivo y con la indicación de la fecha. Selecciona la última entrada y haz clic en Copiar si deseas restaurar el objeto en una nueva ubicación que puedas especificar. Si haces clic en el botón de Restaurar, el elemento será restaurado a su ubicación original.
- Aplicar la herramienta ShadowExplorer
Este recurso te permite restaurar las versiones anteriores de los archivos y carpetas en un modo automático en vez de hacerlo manualmente. Para hacer esto, descarga e instala la aplicación the ShadowExplorer. Después de ejecutarla, selecciona el nombre de la unidad y la fecha en que se crearon las versiones del archivo. Haz clic derecho en la carpeta o el archivo de tu interés y selecciona la opción Export. Después, simplemente especifica la ubicación en la que los datos deben ser restaurados.
Compruebe si se ha eliminado completamente el ransomware Arena
Una vez más, la eliminación de malware por sí sola no conduce a la descifrado de sus archivos personales. Los métodos de restauración de datos resaltados anteriormente pueden o no hacer el truco, pero el propio ransomware no pertenece dentro de su computadora. Por cierto, a menudo viene con otros programas maliciosos, por lo que definitivamente tiene sentido para escanear repetidamente el sistema con software de seguridad automática para asegurarse de que no queden restos dañinos de este virus y amenazas asociadas dentro del Registro de Windows y otras ubicaciones.