La nuova versione Arena del ransomware CrySiS/Dharma è una delle specie di ransomware che sicuramente non volete incontrare. È ben progettata e impossibile da decriptare gratuitamente.
Benchè alcune specie recenti di ransomware abbaiano ma non mordono, l’edizione Arena di CrySiS fa entrambe le cose. Proprio come il suo predecessore di nome Cesar, questa fa leva su algoritmi di crittografia RSA e AES immacolati, quindi decriptare i dati senza una chiave privata di proprietà dei ladri è impossibile. Ogni nuova iterazione di questa linea presenta degli indicatori unici di violazioni, che includono l’estensione collegata ai file bloccati così come i nomi delle note di riscatto. Questo particolare ramo collega ai file ostaggio l’estensione .id-[random].[chivas@aolonline.top].arena. La parte casuale è l’ID vittima che consiste di 8 caratteri esadecimali. Indirizzo email sopra è la variante più comunemente riportata, anche se anche lo stesso può variare. Affiliati differenti hanno contratti di dettaglio differenti, cosa che spiega la variabilità.
Qualche altra stringa email associata alla versione Arena di CrySiS/Dharma include btc2017@india.com, black.mirror@qq.com, m.heisenberg@aol.com, macgregor@aolonline.top, sindragosa@bigmir.net, sir.dragcsa@bigmir.net, mandanos@foxmail.com, e gladius_rectus@aol.com. Infine, un file arbitrario di nome Ocean.bmp si trasformerà in un’entrata simile a Ocean.bmp.id-ACFA91E4.[chivas@aolonline.top].arena. Naturalmente, grazie alla modifica effettuata tramite una miscela di standard di crittografia simmetrici e asimmetrici, nessuno di questi file può essere aperto né vi si può accedere in qualche modo.
Non appena l’utente colpito inizia a comprendere che qualcosa non va con i propri dati, il virus Arena mostra una finestra che include la nota di riscatto di nome Info.hta. Inoltre, scarica il documento FILES ENCRYPTED.txt sul desktop. I contenuti di questi due sono diversi, l’edizione HTA è molto più prolissa.
Secondo la nota di riscatto, l’utente colpito dovrebbe inviare una e-mail all’indirizzo chivas@aolonline.top, o qualsiasi altro indirizzo sia indicato lì. Il titolo di questo messaggio dovrebbe contenere l’ID vittima unico in modo che i ladri possano elaborare la chiave privata RSA da applicare in questo caso. I cattivi inoltre consentono all’utente di ripristinare fino a 5 file gratuitamente. Questi devono essere inferiori a 10 MB di dimensioni, non devono essere in un archivio né contenere informazioni preziose. In risposta al messaggio, i perpetranti invieranno l’importo del riscatto e il portafoglio Bitcoin al quale spedirlo. L’importo va da 0,5 a 1 BTC.
A differenza di altre specie di ransomware diffuse via spam, il genere Arena si diffonde tramite RDP. Gli attaccanti fanno uso dei servizi di desktop remoto per guadagnare il controllo di un computer ed eseguire il codice binario malevolo. Al momento dell’infiltrazione, il parassita cerca di eliminare le copie shadow dei file utente e analizza l’artista e i drive di rete alla ricerca di dati personali. Il resto della catena d’assalto è stato descritto sopra – Arena cripta le informazioni rilevate, modifica i nomi file e genera le note di riscatto. Per sbarazzarsi dell’infezione e cercare di ripristinare i file, assicuratevi di seguire i consigli sotto.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L’uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che il ransomware Arena applica una forte criptazione per rendere inaccessibili i file, quindi non c’è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d’occhio, eccetto naturalmente sottomettersi all’impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti – scoprite quali sono.
Software automatico di ripristino file
È piuttosto interessante sapere che l’infezione elimina i file originali in forma non criptato. Sono le copie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Data Recovery Pro possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Copie Shadow Volume
Questo approccio si affida al backup nativo di Windows dei file sul computer, che viene condotto a ciascun punto di ripristino. C’è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Backup
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell’eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da questo ransomware sarà tanto semplice quanto accedere all’interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
In caso scegliate di aderire alla tecnica di pulizia manuale, alcuni frammenti del ransomware potrebbero essere rimasti come oggetti offuscati nel sistema operativo o nelle voci di registro. Per assicurarsi che non ci siano componenti nocive rimaste della minaccia, fate analizzare il vostro computer da una suite di sicurezza malware affidabile.
Scarica lo strumento di rimozione del virus ransomware Arena