Soft2Secure

Arena virüsü: .arena eklenti dosyalarından kurtulma yöntemi

Arena virüsü: .arena eklenti dosyalarından kurtulma yöntemi

Crysis fidye yazılımının yeni bir versiyonu .arena eklentisi ile dosyaları şifrelemekte ve güvenlik sorunu oluşturmaktadır.

Crypto fidye yazılımından türeyen ve Crysis veya Dharma adlarıyla bilinen kötücül yazılımların yükselişte olduğu gözlemlenmektedir. Aylarca süren sessizliğin ardından, Ağustos 2017 tarihinden itibaren her hafta ortaya çıkmaktadırlar. Son saldırı, .arena dosya uzantısı ile dijital dünyayı vurmuştur. Mağdur kişinin kişisel verilerini şifreledikten sonra, Crysis modu orijinal dosya adlarına şu şekilde uzantılar eklemektedir: id-{victim ID}.[chivas@aolonline.top].arena. Mağdur kişiye bağlı olarak uzantı farklı tanımlayıcılar içermektedir. Sekiz adet on altı basamaklı karakterden oluşmaktadır. Sonuç olarak, fidye yazılım, örneğin Sample.docx adlı bir dokümanı Sample.docx.id-CFABE140.[chivas@aolonline.top].arena şeklinde değiştirmektedir.

.arena uzantılı şifrelenmiş dosyalar

Köşeli parantez içerisinde verilen eposta adresi saldırganın kimliğine bağlı olarak değişkenlik göstermektedir. Şöyle ki, Crysis/Dharma fidye yazılımı, bağımsız şirket sahibi farklı siber suç organizasyonları tarafından kullanılmakta ve her bir grup için farklı bir iletişim adresi içermektedir. Bu organizasyonlardan bazılarının bilinen ve rapor edilmiş eposta adresleri şöyledir; m.heisenberg@aol.com, macgregor@aolonline.top, black.mirror@qq.com, btc2017@india.com, gladius_rectus@aol.com, sindragosa@bigmir.net, sir.dragcsa@bigmir.net ve mandanos@foxmail.com. Bu dosya şifreleyen zararlı yazılım mağdurları, bir sonraki adımda ne yapmaları gerektiğini saldırganın sağladığı eposta adresi aracılığıyla öğrenmek zorunda bırakılmaktadır.

Arena kurtarma gereği tarafından Info.hta kurtarma notu

Mağdurlarla sadece dosya adı üzerinden iletişime geçmek oldukça zordur. Bu sebeple Arena fidye yazılımı, zarar gören sistem içerisinde kurtarma işleminin nasıl yapılacağına dair notlar bırakmaktadır. Bu talimatlar fidyenin nasıl ödenmesi gerektiğine ve şifrelenen dosyaların nasıl kurtarılacağına dair detaylı bilgiler içermektedir. Bu amaçla, fidye yazılımın Crysis versiyonu şu dosyaları kullanmaktadır: Info.hta ve FILES ENCRYPTED.txt. İkinci dosya aynen şu ifadelere yer vermektedir, “Tüm verileriniz tarafımızdan kilitlenmiştir. Geri almak mı istiyorsunuz? chivas@aolonline.top adresine eposta gönderin,” burada yer alan eposta adresi değişebilmektedir. Diğer HTA dosyası ise otomatik olarak çalışmakta ve TXT dosyasından daha fazla bilgi içermektedir. Bu dosyada şu ifadeler yer almaktadır, “Bilgisayarınızdaki tüm dosyalar güvenlik sorunu sebebiyle şifrelenmiştir. Eğer bu dosyaların şifresini kaldırmak istiyorsanız, bize eposta aracılığıyla ulaşın.” Sonuç olarak, mağdur kişi bu dolandırıcılara kişisel kimliğini eposta başlığına yazarak bir mesaj göndermeye zorlanmaktadır. Sonrasında bu kötü niyetli kişiler fidye miktarını bildirmekte ve ödemenin yapılacağı Bitcoin adresini göndermektedir.

Crysis fidye yazılımının bir dosya varyasyonu olan .arena, genel olarak hacklenmiş uzak masaüstü servisleri aracılığıyla çalışmaktadır. Birçok kişi tahmin edilmesi oldukça kolay Uzak Masaüstü Protokolü (RDP) şifreleri kullanmaktadır ve online saldırganlar kesinlikle bunun bilincindedir. Sisteme giriş yaptıklarında, zararlı yazılımlar mağdurun bilgisayarındaki dosyaların gizli kopyalarını silerek kurtarma işleminin önüne geçmektedirler. Bunun üstüne, bu kişiler dosyaları en üst seviyede şifreleyerek, dosyaların ücretsiz bir şekilde şifrelerinin çözülmesinin önüne geçmektedirler. Yine de, Arena virüsünün VSS dosyalarını devre dışı bırakamaması halinde, dosyalar normal haline geri döndürülebilmektedir. Daha fazla bilgi için lütfen aşağıdaki kısma bakınız.

Arena dosya virüsü için otomatik silme

Bu fidye yazılımının yok edilmesi güvenilir bir yazılımla gerçekleştirilebilmektedir. Otomatik temizleme tekniğine bağlı kalmak, zararlı bileşenlerin sisteminizden tamamen atıldığından emin olmanızı sağlar.

1. Tavsiye edilen güvenlik aracını indirin ve Start Computer Scan seçeneğini seçerek bilgisayarınızı zararlı yazılımlar için kontrol edin.

.arena dosya virüsü temizleyiciyi indir

2. Tarama birkaç maddenin olduğu bir liste çıkaracaktır. Virüsü ve ilgili bulaşıcıları sisteminizden silmek için Fix Threats seçeneğine tıklayın. Temizleme prosesinin bu bölümünü tamamlamak zararlı bulaşıcıları tamamen temizleyecektir. Şimdi daha büyük bir zorluk var karşınızda – verilerinizi geri almak.

.arena dosya fidye yazılımı tarafından şifrelenen dosyaları kurtarma metotları

Geçici Çözüm 1: Dosya kurtarma yazılımı kullanın

Arena virüsünün dosyalarınızı kopyalayıp şifrelediğini bilmek oldukça önemlidir. Bu arada orijinal dosyalar silinmektedir. Bu uygulamalar silinen verileri kurtarmaya yaramaktadır. Bu işlem için Data Recovery Pro gibi araçları kullanabilirsiniz. Fidye yazılımının son versiyonu farklı komutlarla kesin silme işlemi yapma eğilimindedir, fakat yine de bu metot denemeye değerdir.

ParetoLogic Data Recovery’i İndir

Data Recovery Pro

Geçici Çözüm 2: Yedeklemeden faydalanın

İlk ve en önemli şey olarak, bu yöntem silinen dosyaları kurtarmak için en iyi yoldur. Fakat sadece makinenizdeki bilgileri yedeklemişseniz işe yaramaktadır. Eğer öyleyse, bu sağduyulu davranışınızın faydalarını görebilirsiniz.

Geçici Çözüm 3: Gölge Hacim Kopyalarını Kullanın

Belki daha önce hiç duymamış olabilirsiniz, işletim sisteminiz Sistem Geri Yükleme bilgisayarınızda aktif olduğu sürece her dosyanın Gölge Hacim Kopyasını oluşturmaktadır. Geri yükleme noktaları farklı zamanlarda ve hatta bir dosya oluşturulduğu anda yaratılmaktadır. Bu yöntemin dosyalarınızın son halini kurtarma garantisi vermediğini dikkate alın. Yine de denemeye değer bir yöntemdir. Bu iş akışı iki şekilde gerçekleştirilebilir: manuel olarak veya otomatik çözüm ile. Öncelikle manuel sürece bir göz atalım.

  • Önceki Sürümleri Kullan özelliği

    Windows İşletim Sistemi dosyaların bir önceki sürümüne alınması için yerleşik bir seçenek sunar. Bir dosya veya klasöre sağ tuşla tıklayın ve Özellikler’i seçerek Önceki Sürümler sekmesine tıklayın. Sürüm alanında dosyanın/klasörün ilgili zaman ve tarih göstergelerine göre yedeklenmiş kopyalarının bir listesini bulacaksınız. En son girdiyi seçin ve eğer objeyi geri yükleyebileceğiniz konumu seçmek istiyorsanız Kopyala butonuna tıklayın. Eğer Geri Yükle butonuna tıklarsanız obje orijinal konumuna geri yüklenecektir.
    Önceki Sürümler

  • ShadowExplorer aracını kullanın

    Bu iş akışı, dosya ve klasörlerin önceki sürümlerini elle geri getirmek yerine otomatik bir yöntemle geri getirmeye imkan tanır. Bunu yapmak için, ShadowExplorer uygulamasını indirin ve kurun. Çalıştırdıktan sonra sürücü adını ve dosya versiyonlarının oluşturulma tarihlerini seçin. İlgilendiğiniz dosya veya klasöre sağ tuşla tıklayın ve Dışa Aktar seçeneğini seçin. Artından tek yapmanız gereken verinin nereye geri alınacağını seçmek.
    ShadowExplorer

Crysis / Arena virüsünün tamamen silindiğini onaylayın

Tekrar belirtmek gerekirse, Locky fidye yazılımı silme işlemi tek başına kişisel dosyalarınızın şifrelerini çözmek için yeterli değildir. Yukarıda belirtilen veri kurtarma metotları işe yarayabilir veya yaramayabilir, fakat fidye yazılımı bilgisayarınızda bulunmamalıdır. Genel olarak, bu virüs diğer zararlı yazılımlarla beraber geldiği için Windows Kayıt Defteri ve diğer konumlarda virüsün ve ilgili tehditlerin zararlı kalıntılarından tamamen kurtulduğunuzdan emin olmak adına sisteminizi otomatik güvenlik sistemi ile sık sık taratmak akıllıca bir davranış olacaktır.

Arena Tarayıcısı ve Temizleyicisini İndir