Arena-Ransomware entfernen

Anscheinend handelt es sich beim Arena-Ransomware-Virus um eine neue und aktualisierte Version der Crysis oder Dharma-Ransomware-Infektion. Der berühmte Ransomware-Forscher Michael Gillespie hat sie entdeckt und darüber in einem Twitter-Post berichtet.

Während einige Cyber-Security-Experten den Arena-Erpressungstrojaner als neue Version des Dharma-Virus betrachten, gehen andere davon aus, dass es sich um denselben Virus unter anderem Namen und mit anderer Dateiendung handelt. So oder so, dieser Virus ist extrem gefährlich und kann sehr viele Probleme verursachen.

Verschlüsselungsprozedur der Arena-Ransomware

Dieses Stück Malware kann als Anhang einer Spam-Mail oder als Teil eines kostenlosen Software-Bündels von der fragwürdigen Sorte auf Ihren Computer gelangen. Wenn der Erpressungstrojaner erst einmal im System drin ist, wird er Scan aller auf der Festplatte abgespeicherten Dateien durchführen – auf dieselbe Weise, wie es auch eine Anti-Virus-Software macht.

Jedoch ist der Zweck Scans hier von gegenteiliger Natur – der Arena-Erpressungstrojaner erkennt jede Datei, die gesperrt werden kann und verschlüsselt sie mit einer einzigartigen Chiffre. Grundsätzlich kann jede Datei verschlüsselt werden, die Sie täglich nutzen – Fotos, Video- und Audio-Dateien, Text-Dokumente und so weiter.

Sind alle Dateien gesperrt, werden Sie deren veränderte Dateinamen auf Ihrer Festplatte bemerken. Das geschieht, weil die Arena-Ransomware eine eigene Dateiendung vergibt. Diese Endung ist ziemlich ungewöhnlich – .id-[id].[email].arena. Wenn Sie also zum Beispiel eine Datei namens holiday.jpg hatten, so wird sie jetzt so heißen: ‘holidays.jpg.id-[id].[email].arena’. Von diesem Moment an werden Sie nicht mehr auf dieses Datei zugreifen können. Außerdem wird das Kommando ‘vssanub delete shadows /all /quiet’ aufgerufen, um alle Volumenschattenkopien auf ihrem Rechner zu löschen, damit Sie die Dateien nicht mehr aus einem Back-up wiederherstellen können.

Nachdem die Verschlüsselung erledigt ist, werden automatisch zwei Dateien auf Ihren Rechner heruntergeladen – ‘info.hta’ und ‘files encrypted.txt’. Die erste wird automatisch auf Ihrem Desktop abgelegt und geöffnet, während die zweite in jedem einzelnen Ordner auf Ihrem Computer abgelegt wird. Bei ‘files encrypted.txt’ handelt es sich nur um eine kurze Nachricht, dass Ihre Dateien verschlüsselt worden sind, und dass Sie die Krypto-Mail [email protected] kontaktieren sollen. Originaltext der Nachricht:

alle deine daten sind uns gesperrt (Anspielung auf „all your base are belong to us“)

Du willst zurück?

schreib E-Mail [email protected]

Die andere Datei enthält detaillierte Informationen, über das Geschehene und darüber, was Sie als Nächstes tun sollen. Original-Text der Datei ‘info.hta’:

Alle deine Dateien sind verschlüsselt worden! Alle deine Dateien wurden wegen eines Sicherheitsproblems mit deinem PC verschlüsselt. Wenn du sie wiederherstellen willst, schreib uns eine E-Mail an die Adresse [email protected]. Schreibe diese ID in den Betreff deiner Nachricht. Falls du nicht binnen 24 Stunden Nachricht von uns erhältst, schreibe an diese Adressen: [email protected]. Du musst für die Entschlüsselung bezahlen. Der Preis hängt davon ab, wie schnell du uns schreibst. Nach der Bezahlung schicken wir dir das Entschlüsselungs-Tool, das alle deine Dateien entschlüsseln wird. Kostenlose Entschlüsselung wird vorab garantiert, wenn du uns vor der Bezahlung 5 Dateien schickst, die zusammen weniger als 10 MB (ungepackt) haben dürfen, und keine wertvollen Informationen enthalten (Datenbanken, Back-ups, große Excel-Dateien, usw.). Wie kommst du an Bitcoins? Der leichteste Weg, Bitcoins zu kaufen ist die Seite LocalBitcoins. Du musst dich registrieren, auf „Kaufe Bitcoins“ klicken, den Verkäufer, die Bezahlmethode und den Betrag auswählen. https://localbitcoins.com/buy_bitcoins Weitere Orte, um Bitcoins zu kaufen und eine Anleitung für Anfänger gibt es hier: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ Achtung! Benenne die verschlüsselten Dateien nicht um. Versuche nicht, die Dateien mit Software von Dritten zu entschlüsseln. Dies könnte einen endgültigen Datenverlust bedeuten. Entschlüsselungsversuche mit Software von Dritten könnten einen erhöhten Preis nach sich ziehen (sie schlagen ihre Gebühr auf unsere auf), auch könntest zu übers Ohr gehauen werden.

Wie Sie sehen können, bieten Ihnen die Cyber-Kriminellen hinter dem Arena-Erpressungstrojaner an, ihnen fünf verschlüsselte Dateien zu schicken, um Ihnen so zu beweisen, dass sie die Macht haben, diese zu entschlüsseln, und um Sie zur Zahlung des Lösegeldes zu bringen. Es ist nicht klar, wie viel Sie zahlen müssen, normalerweise beträgt das Lösegeld zwischen 500 und 1500 US-Dollar.

Wie löst man das Problem mit der Arena-Ransomware?

Obwohl es sogar möglich ist, die von der Crysis-Ransomware verschlüsselten Dateien zu entschlüsseln, gilt das nicht für Arena. Genau aus diesem Grund denken wir, dass es sich nicht um denselben Virus handelt. Leider gibt es keinen Weg, um die von Arena gesperrten Dateien zu entschlüsseln. Ungeachtet dessen sollten Sie diesen Virus von Ihrem Computer entfernen. Das geschieht am besten mit einer Anti-Malware-Software. Wie aus der Auswertung von VirusTotal ersichtlich, sind die meisten Anti-Malware-Programme in der Lage, diesen Virus zu erkennen. Wir empfehlen jedoch entweder Spyhunter für diese Aufgabe, da sich diese Programme im Kampf mit Erpressungstrojanern bereits sehr bewährt haben. Zu guter Letzt gibt es noch die Möglichkeit der Neuinstallation Ihres Betriebssystems, wenn Sie den Verlust Ihrer persönlichen Daten akzeptiert haben.

Wie entferne ich Arena-Ransomware mit einer Systemwiederherstellung?

Schritt 1. Starten Sie Ihren Computer im abgesicherten Modus mit Eingabeaufforderung neu.

für Windows 7 / Vista/ XP

• Start → Herunterfahren → Neu starten → OK.
• Drücken Sie immer wieder die F8-Taste, bis das Fenster mit den Erweiterten Startoptionen erscheint.
• Wählen Sie den abgesicherten Modus mit Eingabeaufforderung.

für Windows 8 / 10

• Klicken Sie am Windows-Sperrbildschirm auf Ein/Aus. Halten Sie danach die Umschalttaste gedrückt und klicken Sie auf Neu starten.
• Wählen Sie Problembehandlung → Erweiterte Optionen → Windows-Starteinstellungen und klicken Sie dort auf Neu starten.
• Wählen Sie, nachdem das System geladen wurde, in den Starteinstellungen den abgesicherten Modus mit Eingabeaufforderung.

Stellen Sie Ihre Systemdateien und Einstellungen wieder her.

• Nach der Eingabeaufforderungsmodus geladen wurde, geben Sie cc restore ein und drücken Sie Enter.
• Geben Sie danach rstrui.exe ein und drücken Sie erneut Enter.
• Klicken Sie im nächsten Fenster auf „Weiter“.
• Wählen Sie einen verfügbaren Wiederherstellungspunkt aus, der vor dem Zeitpunkt, an dem Arena Crysis in Ihr System gelangte, liegt, und klicken Sie auf „Weiter“
• Um die Systemwiederherstellung zu starten, klicken Sie auf „Ja“.

Shritt 2. Schließen Sie die Entfernung von Arena-Ransomware ab.

Nachdem Sie Ihr System wiederhergestellt haben, empfehlen wir Ihnen, Ihren Computer mit einem Anti-Malware Programm, wie Spyhunter, zu scannen und alle betrügerischen Dateien, die mit Arena Crysis in Verbindung stehen, zu entfernen.

Shritt 3. Stellen Sie die von Arena-Ransomware betroffenen Dateien mit Hilfe einer Volumenschattenkopie wieder her

Falls Sie die Wiederherstellungsoption Ihres Betriebssystems nicht nutzen, besteht die Möglichkeit, Schattenkopie-Snapshots zu verwenden. Sie speichern Kopien Ihrer Dateien zum Zeitpunkt, an dem der Schnappschuss der Systemwiederherstellung erstellt wird. Normalerweise versucht Arena Crysis, alle vorhandenen Volumenschattenkopien zu löschen, weshalb diese Methode eventuell nicht auf allen Computern funktioniert. Das Schurkenprogramm könnte mit seinem Versuch aber scheitern.

Volumenschattenkopien stehen nur in Windows XP Service Pack 2, Windows Vista, Windows 7 und Windows 8 zur Verfügung. Es gibt zwei Möglichkeiten, um Ihre Dateien per Volumenschattenkopie wiederherzustellen: die Windows-Vorgängerversionen oder den Shadow Explorer.

a) Windows-Vorgängerversionen

Klicken Sie mit der rechten Maustaste auf eine verschlüsselte Datei und wählen Sie Eigenschaften > Vorgängerversionen (Karteireiter). Jetzt sehen Sie alle verfügbaren Kopien dieser Datei und den Zeitpunkt, an dem die Volumenschattenkopie gespeichert wurde. Wählen Sie die Version der Datei, die Sie wiederherstellen möchten, und klicken Sie auf „Kopieren“, falls Sie sie in einem bestimmten Verzeichnis speichern möchten, oder auf „Wiederherstellen“, falls Sie die bestehende, verschlüsselte Datei ersetzen möchten. Falls Sie sich zuerst den Inhalt der Datei ansehen möchten, klicken Sie auf „Öffnen“.

b) Shadow Explorer

Der Shadow Explorer ist ein Programm, das online kostenlos zur Verfügung steht. Sie können entweder eine Vollversion oder eine portierbare Version des Shadow Explorers herunterladen. Öffnen Sie das Programm. Wählen Sie in der obere linken Ecke das Laufwerk, auf dem sich die Datei, nach der Sie suchen, befindet. Jetzt sehen Sie alle Ordner dieses Laufwerks. Um einen ganzen Ordner wiederherzustellen, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Exportieren“. Wählen Sie danach aus, wo der Ordner gespeichert werden soll.

Anmerkung: In vielen Fällen ist es leider nicht möglich, Dateien, die mit modernen Ransomwares infiziert wurden, wiederherzustellen. Ich rate Ihnen daher, vorbeugend eine gute Cloud-Backup-Software zu verwenden. Wir empfehlen Ihnen Carbonite, BackBlaze, CrashPlan oder Mozy Home.

Arena-Ransomware manuell entfernen