Il semble que le virus ransomware Arena est une nouvelle version améliorée des infections ransomware Crysis ou Dharma. Il a été découvert par un célèbre chercheur ransomware Michael Gillespie et publié sur #.
Alors que certains chercheurs en sécurité considèrent que le virus Arena est une nouvelle version du virus Dharma, d’autres disent que c’est le même virus avec un nom différent et une extension de fichier différente. D’une façon ou une autre, ce virus est extrêmement dangereux et peut vous causer beaucoup de problèmes.
Le processus de cryptage du ransomware Arena
Ce code malveillant peut entrer dans l’ordinateur comme une pièce jointe à un e-mail de spam ou un paquet d’un logiciel libre de la réputation douteuse. A l’intérieur de l’ordinateur, il exécutera un scan des fichiers stockés sur un disque dur – de la même manière que les logiciels anti-virus. Cependant, le but de cette analyse est complètement à l’opposé – le ransomware Arena identifie les fichiers qui peuvent être verrouillés et les chiffre en utilisant une cryptographie unique. Fondamentalement, tout fichier que vous utilisez sur une base quotidienne peut être chiffré – photos, fichiers vidéo et audio, documents texte et ainsi de suite.
Une fois que tous les fichiers sont verrouillés, vous remarquerez que le nom de chaque fichier stocké sur votre disque dur est changé. En effet, le ransomware Arena ajoutera une extension personnalisée à tous. Cette extension est plutôt inhabituelle – .id- [id] [email] .arena.. Ainsi, par exemple, si vous avez un fichier appelé « holidays.jpg », maintenant il ressemblera à ceci: « holidays.jpg..id- [id] [email] .arena. ». Et à partir de ce moment, vous ne pourrez pas ouvrir ce fichier. Il sera également exécuté une commande “vssanub delete shadows /all /quiet’ afin de supprimer toutes les copies de volume à partir de votre ordinateur afin que vous ne soyez pas en mesure de restaurer les fichiers verrouillés à partir d’une sauvegarde.
Après que le chiffrement est effectué, deux fichiers seront automatiquement téléchargés sur votre ordinateur – « info.hta » et « files encrypted.txt ».Le premier sera placé et ouvert automatiquement sur votre bureau, tandis que le second ne sera mis que dans chaque seul dossier sur votre ordinateur. « Fichiers Encrypted.txt » est juste un court message que vos fichiers ont été chiffrés et que vous devez contacter par email [email protected]. Le texte original du message:
all your data has been locked us
You want to return?
write email [email protected]
L’autre fichier contient des informations détaillées sur ce qui est arrivé et ce que vous devriez faire. Texte original du fichier « info.hta »:
All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message [id] In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
Comme vous pouvez le voir, les cyber-criminels derrière le virus ransomware Arena propose de leur envoyer jusqu’à 5 fichiers cryptés afin qu’ils puissent vous envoyer des versions décryptées de ces fichiers et vous prouver qu’ils ont le pouvoir de le faire et vous encourager à payer la rançon de cette façon . On ne sait pas combien vous devrez payer, mais c’est généralement autour de 500 $ – 1500 $ USD.
Comment régler le problème du ransomware Arena ?
Même si il est possible de déchiffrer des fichiers chiffrés par le ransomware Crysis, ce n’est pas disponible pour Arena et c’est la principale raison pour laquelle nous ne pensons pas que ce soit exactement le même virus. Malheureusement, il n’y a aucun moyen de décrypter les fichiers verrouillés par le ransomware Arena. Peu importe ce fait, vous devez supprimer ce virus de votre ordinateur. Cela peut être fait en utilisant un logiciel anti-malware. Comme on le voit sur report by VirusTotal, la plupart des programmes anti-logiciels malveillants sont capables de détecter ce virus. Toutefois, nous vous recommandons d’utiliser soit Spyhunter pour cette tâche car ces programmes se sont révélés très efficaces en matière de traitement des ransomware comme celui-ci. Enfin, si vous pouvez accepter la perte de vos fichiers personnels, vous pouvez simplement nettoyer réinstaller votre système d’exploitation.
Comment supprimer Le virus Arena en utilisant System Restore(Restauration du système)?
1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande
Pour Windows 7 / Vista/ XP
- Démarrer → Eteindre → Redémarrer → OK.
- Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
- Choisir Mode sans échec avec Invite de commande.
Pour Windows 8 / 10
- Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
- Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
- Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.
Restaurer les fichiers du système et les paramètres.
- Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
- Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
- Cliquez sur “Suivant” dans la fenêtre qui est apparue.
- Sélectionner un des Point de restauration qui sont disponibles avant que virus Arena ait infiltré votre système puis cliquer sur “Suivant”.
- Pour démarrer la Restauration du système, cliquer sur “Oui”.
2. Compléter la suppression de Arena Crysis
Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme Spyhunter et de supprimer tous les fichiers malveillants en lien avec Le virus Arena.
3. Restaurer les fichiers affectés par virus Arena en utilisant les copies Shadow Volume
Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Arena Crysis essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.
Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.
a) Précédentes versions Windows d’origineClic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.
b) Shadow Explorer
C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.
Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.
Outils de suppression Malware automatique
(Win)
Note: le procès Spyhunter de détection permet de parasite comme Le Virus Arena et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: le procès Combo Cleaner de détection permet de parasite comme Le Virus Arena et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,