Arena Ransomware Virus - Hoe Te Verwijderen?

-
 0
Type: Ransomwares
Andere namen: Arena Crysis
 

Het lijkt erop dat het Arena ransomware virus een nieuwe, bijgewerkte versie is van de Crysis of Dharma ransomware infectie. Het werd ontdekt door de beroemde ransomware onderzoeker Michael Gillespie en gepubliceerd op Twitter post.

Terwijl sommige cyberbeveiliging onderzoekers de Arena ransomware beschouwen als een nieuwe versie van het Dharma virus, stellen anderen dat het hetzelfde virus is met enkel een andere naam en bestandsextensie. Wat het ook mag zijn, het virus is zeer gevaarlijk en kan je enorm veel problemen bezorgen.


Het Arena ransomware versleutelingsproces

Deze malware kan je computer binnendringen als een bijlage aan spam mail of in een bundel met gratis software, welke een bedenkelijke reputatie heeft. Zodra het op je computer zit, zal het een scan uitvoeren van de opgeslagen bestanden – op dezelfde manier als een antivirus software dit doet. Het doel van deze scan is, echter, het volledig tegenovergestelde – de Arena ransomware identificeert bestanden die vergrendeld kunnen worden en versleuteld deze met een unieke codering. Het komt erop neer dat elk bestand, dat je op een dagelijkse basis gebruikt, kan worden versleuteld – foto’s, video- en audiobestanden, tekstdocumenten en ga zo maar door.

Van zodra alle bestanden vergrendeld werden, zal je merken dat de naam van elk, op je harde schijf opgeslagen, bestand veranderd werd. Dit komt omdat de Arena ransomware aan elk van hen een aangepaste extensie toevoegt. Deze extensie is eerder wat ongewoon – .id-[id].[email].arena. Dus, bijvoorbeeld, als je een bestand had met de naam ‘vakantie.jpg’, zal dit nu er als volgt uitzien: ‘vakantie.jpg..id-[id].[email].arena’. En vanaf nu zal je dit bestand niet meer kunnen openen. Tevens zal het een ‘vssanub delete shadows /all /quiet’ commando uitvoeren om alle schaduw volume kopieën te verwijderen van je computer, zodat je de vergrendelde bestanden niet zal kunnen herstellen vanop een back-up.

Nadat het versleutelen werd voltooid, zullen er automatisch twee bestanden op je computer worden gedownload – ‘info.hta’ en ‘files encrypted.txt’. Het eerste zal op je bureaublad geplaatst en automatisch geopend worden, terwijl het tweede in elke map op je computer wordt geplaatst. ‘files encrypted.txt’ is gewoon een kort bericht dat stelt, dat je bestanden versleuteld werden en je contact moet opnemen met chivas@aolonline.top. De originele tekst van het bericht:

Al je data werd door ons vergrendeld

Wil je deze terug?

Mail dan chivas@aolonline.top

Het andere bestand bevat gedetailleerde informatie over wat er gebeurde en wat je nu zou moeten doen. De originele tekst van het ‘info.hta’ bestand:

Al je bestanden werden versleuteld! Al je bestanden werden versleuteld vanwege een beveiligingsprobleem met je pc. Als je deze wilt herstellen stuur ons dan een mail op chivas@aolonline.top. Vermeld deze ID in het onderwerp van je bericht [id] Als je geen antwoord krijgt binnen de 24 uur, stuur dan een mail aan dit adres: chivas@aolonline.top Je moet voor het decoderen betalen met Bitcoins. De prijs is afhankelijk van hoe snel je ons mailt. Na betaling zullen we je het decodering tool toesturen. Gratis decodering als garantie. Voordat je betaalt, kan je ons tot 5 bestanden sturen voor gratis decodering. De totale grootte van de bestanden moet minder dan 10Mb (niet gearchiveerd) zijn, en de bestanden mogen geen waardevolle informatie bevatten. (databases, back-ups, grote Excel bladen, etc.) Hoe Bitcoins verkrijgen. De makkelijkste manier om Bitcoins te kopen is via de site LocalBitcoins. Registreer je, klik op ‘Koop bitcoins’, en selecteer de verkoper via betalingsmethode en prijs. https://localbitcoins.com/buy_bitcoins. Hier kan ook andere plaatsen om Bitcoins te kopen en handleidingen voor beginners vinden: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Let op! Hernoem de versleutelde bestanden niet. Probeer niet om je data te decoderen met software van derden, dit kan ervoor zorgen dat je de data voorgoed kwijtspeelt. Het decoderen van je bestanden met de hulp van derden kan een prijstoename veroorzaken (zij tellen hun vergoeding bij de onze) of je kan het slachtoffer van een scam worden.

Zoals je kunt zien, bieden de cybercriminelen achter het Arena ransomware virus je aan om hen 5 versleutelde bestanden te sturen zodat ze je de gedecodeerde versies kunnen terugsturen om je te bewijzen dat ze dit ook daadwerkelijk kunnen en je op deze manier aan te moedigen het losgeld te betalen. Het is niet duidelijk hoeveel je moet betalen, meestal is dit rond de $500 – $1500 USD.

Hoe het Arena ransomware probleem oplossen?

Hoewel het mogelijk is om bestanden te decoderen die versleuteld werden door de Crysis ransomware, kan dit nog niet voor Arena en dit is de voornaamste reden waarom we denken dat het niet exact hetzelfde virus is. Jammer genoeg bestaat er geen manier om bestanden die versleuteld werden door de Arena ransomware te decoderen. Ongeacht dit feit, moet je dit virus van je computer verwijderen. Dit kan je doen met een anti-malware software. Zoals gezien op report by VirusTotal, zijn de meeste anti-malware programma’s in staat om dit virus te detecteren. Wij bevelen echter het gebruik van Reimage of SpyHunter aan voor deze taak, aangezien deze programma’s bewezen hebben zeer efficiënt te zijn als het aankomt op het omgaan met ransomware zoals dit. Tenslotte, als je vrede hebt met het verlies van je persoonlijke bestanden, kan je ook gewoonweg het besturingssysteem opnieuw installeren.

Hoe Arena ransomware virus verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Arena Crysis je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Arena ransomware virus

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Arena Crysis.


3. Herstel door Arena ransomware virus aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Arena Crysis om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

Verwijdering handleiding Arena ransomware virus

 
Processen:
Extensions:
     
 

Over de auteur

 
oktober 15, 2017 20:23, oktober 15, 2017 20:23
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *