Arena ransomware virus - Hvordan fjernes det?

Det kunne godt se ud som om, at Arena ransomware virus er en ny og opdateret version af infektionen Crysis eller Dharma ransomware. Den blev opdaget af den berømte ransomware-forsker Michael Gillespie og offentliggjort på Twitter post.

Mens nogle it-sikkerhedseksperter mener, at Arena ransomware er en ny version af Dharma-virus, antyder andre, at der er tale om den samme virus blot med et anet navn og filudvidelse. Uanset hvad, så er denne virus ekstrem farlig og kan give dig en masse problemer.


Arena ransomwares krypteringsproces

Dette stykke software kan trænge ind i computeren som en vedhæftning i en spam e-mail eller bundtet med et gratis software med et tvivlsomt ry. Når det er inde i computersystemet, vil det køre en scanning af de gemte filer på harddisken – på samme måde som et antivirus software. Men formålet med denne scanning er det stik modsatte – Arena ransomware finder de filer, som det kan låse, og krypterer dem ved hjælp af en unik kryptering. Alle filer, som du bruger til dagligt, kan i bund og grund blive krypteret – billeder, video- og lydfiler, tekstdokumenter osv.

Når alle filer er låst, kan du se, at navnet på alle filerne på din harddisk er blevet ændret. Det skyldes, at Arena ransomware tilføjer en brugerdefineret udvidelse til dem alle. Denne udvidelse er ret usædvanlig, for den hedder .id-[id].[email].arena. Så hvis du f. eks havde en fil kaldet ‘holidays.jpg’, vil den nu kaldes for ‘holidays.jpg..id-[id].[email].arena’. Og du vil ikke kunne åbne denne fil. Det vil også køre en kommando ‘vssanub delete shadows /all /quiet’ for at fjerne alle shadow volume kopier fra din computer, så du ikke vil kunne være i stand til at gendanne de låste filer fra en sikkerhedskopi.

Når krypteringen er overstået, bliver der automatisk downloadet to filer på din computer – ‘info.hta’ og ‘files encrypted.txt’. Den første placeres og åbnes automatisk på computerens skrivebord, mens den anden indsættes i hver eneste mappe på din computer. ‘files encrypted.txt’ er kun en kort besked om, at dine filer er blevet krypteret, og at du skal kontakte e-mailen [email protected]. Beskedens originale tekst lyder således:

all your data has been locked us

You want to return?

write email [email protected]

(Oversættelse: Alle dine data er blevet låst

Vil du tilbage?

Skriv e-mail [email protected])

Den anden fil indeholder detaljerede oplysninger om, hvad der er sket og hvad du følgende skal gøre. Den originale tekst fra ’info.hta’ filen lyder således:

All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail [email protected] Write this ID in the title of your message [id] In case of no answer in 24 hours write us to theese e-mails:[email protected] You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Free decryption as guarantee Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) How to obtain Bitcoins The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click ‘Buy bitcoins’, and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

(Oversættelse: Alle dine filer er blevet krypteret! Alle dine filer er blevet krypteret på grund af et sikkerhedsproblem på din computer. Hvis du gerne vil gendanne dem, skriv til os på e-mailen [email protected]. Skriv dette ID i emnefeltet i din besked [id] Hvis du ikke får svar indenfor 24 timer, skriv til os på denne e-mail: [email protected] Du er nødt til at betale for dekrypteringen med Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Når du har betalt, vil vi sende dekrypteringsværktøjet til dig, som vil dekryptere alle dine filer. Gratis kryptering som garanti Inden du betaler, kan du sende os højst 5 filer, der kan dekrypteres gratis. Den samlede filstørrelse skal være mindre end 10 Mb (ikke arkiveret), og filerne må ikke indeholde værdifulde oplysninger (database, sikkerhedskopier, store excel ark osv.). Sådan får du fat i Bitcoins Det er nemmest at købe Bitcoins på websitet LocalBitcoins. Du er nødt til at registrere dig, klik på ’Køb Bitcoins’ og vælg sælgeren efter betalingsmetode og pris. https://localbitcoins.com/buy_bitcoins Du kan også finde andre steder, hvor du kan købe Bitcoins og en begyndervejledning her: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Advarsel: Du skal ikke omdøbe de krypterede filer. Du skal ikke prøve at dekryptere dine data ved hjælp af tredjepart software, det kan medføre permanent tab af data. Dekryptering af dine filer ved hjælp af tredjepart kan medføre, at prisen stiger (de lægger deres gebyr sammen med vores) eller du kan blive offer for svindel.

Som du kan se, så tilbyder de it-kriminelle bag Arena ransomware virus, at man kan sende dem op til 5 krypterede filer, så de kan sende de dekrypterede udgaver af de pågældende filer til dig og dermed bevise overfor dig, at de er i stand til at gøre det, og på den måde få dig til at betale løsesummen. Det er ikke helt til at se, hvor meget man skal betale, men det er som regel omkring 500 – 1500 dollars.

Hvordan løser man problemet med Arena ransomware?

Selvom det er muligt at dekryptere filer, der er dekrypteret af Crysis ransomware, gælder det ikke for Arena, og det er den umiddelbare årsag til, at vi ikke mener, at virussen er nøjagtigt den samme. Der er desværre ikke nogen måde, hvorpå man kan dekryptere filer, der er låst af Arena ransomware. Men derfor skal du alligevel fjerne denne virus fra din computer. Og det kan du gøre med et anti-malwareprogram. Som man kan se på report by VirusTotal , er de fleste anti-malwareprogrammer i stand til at finde denne virus. Vi anbefaler imidlertid, at man enten anvender Reimage eller SpyHunter til denne opgave, for disse programmer har vist sig at være meget effektive, når det drejer sig om at håndtere ransomware som dette. Sidst men ikke mindst, hvis du kan acceptere, at dine filer er gået tabt, kan du simpelthen rense og geninstallere dit operativsystem.

1. Hvordan fjernes Arena ransomware virus ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Arena Crysis trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af Arena ransomware virus

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Arena Crysis.


3. Gendan filer, der er påvirket af Arena ransomware virus, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Arena Crysis prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Manuel Arena ransomware virus fjernelse

Kilde: https://www.2-viruses.com/remove-arena-ransomware-virus

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *