Xuất hiện biến thể mới của ransomware Arena Crysis

Nhà nghiên cứu Michael Gillespie mới phát hiện ra một biến thể mới của ransomware Crysis/Dharma bổ sung thêm đuôi .arena vào tập tin bị mã hóa. Vẫn chưa biết chính xác biến thể này được phân phối ra sao nhưng trước đây, Crysis đã lan tràn bằng cách hack Remote Desktop Services và tự cài đặt thủ công ransomware.

Khi được cài đặt, nó sẽ quét máy tính để tìm một số kiểu tập tin nhất định và mã hóa chúng. Khi mã hóa tập tin, nó sẽ bổ sung thêm đuôi trong định dạng .id-[id].[email].arena. Ví dụ như, một tập tin có tên test.jpg sẽ bị mã hóa và đổi tên thành test.jpg.id-BCBEF350.[chivas@aolonline.top].arena.

Cần phải nhớ rằng ransomware này sẽ mã hóa ổ đĩa mạng đã được ánh xạ (map) và mạng chia sẻ chưa được map. Vì thế hãy đảm bảo bạn đã khóa mạng chia sẻ để những người thực sự cần truy cập mới có quyền.

Dưới đây là ví dụ của thư mục bị mã hóa.

Thư mục với các tập tin đã bị Crysis mã hóa

Tập tin bị mã hóa bằng biến thể của Crysis Arena Ransomware

Khi mã hóa tập tin, nó cũng sẽ loại bỏ tất cả các bản sao, nên bạn không thể khôi phục lại. Nó sẽ xóa chúng bằng cách chạy lệnh vssadmin delete shadows /all /quiet.

Biến thể Arena Crysis cũng sẽ tạo thêm 2 ghi chú tống tiền. Một là tập tin info.hta được chạy bằng autorun. Và một là ghi chú có tên FILES ENCRYPTED.txt.

Ghi chú trên tâp tin info.hta của mã độc tống tiền


Ghi chú trên tâp tin TXT

Cả 2 ghi chú này đều có chứa hướng dẫn để liên hệ với chivas@aolonline.top để hướng dẫn thanh toán.

Cuối cùng, mã độc tống tiền sẽ thiết lập chính mình để tự động bắt đầu khi bạn đăng nhập vào máy. Điều này cho phép nó mã hóa những tập tin mới được tạo kể từ lần thực thi cuối cùng.

Không thể giải mã mã độc tống tiền Crysis Arena

Tới thời điểm này, tập tin bị mã độc Crysis Ransomware tấn công sẽ không thể giải mã (mà không mất tiền). Cách duy nhất để phục hồi là sao lưu hoặc nêu bạn may mắn, qua Shadow Volume Copies. Dù Crysis cố gắng xóa Shadow Volume Copies nhưng trong số ít trường hợp, nó không thể làm vậy. Do đó, khôi phục tập tin bị mã hóa từ Shadow Volume Copies vẫn luôn được gợi ý là cách cuối cùng để cứu vãn.

Làm sao để bảo vệ khỏi mã độc Crysis?

Để bảo vệ chính mình khỏi Crysis hay bất kì ransomware nào khác, hãy tự tạo cho mình thói quen sử dụng máy tính cùng các phần mềm bảo mật. Trước tiên, hãy luôn sao lưu dữ liệu bằng các công cụ đáng tin cậy để phòng khi cần thiết. Các phần mềm bảo mật có thể phát hiện mã độc như Emsisoft Anti-Malware hay Malwarebytes cũng có thể hữu ích.

Cuối cùng, đừng quên tạo thói quen giữ an toàn khi sử dụng máy tính như:

• Sao lưu dữ liệu.
• Không mở tập tin đính kèm mà không biết ai gửi.
• Không mở tập tin đính kèm cho tới khi xác nhận rằng đúng là người đó gửi cho mình.
• Quét tập tin bằng các công cụ phát hiện virus như VIrus Total.
• Đảm bảo cập nhật Windows ngay khi chúng được phát hnafh. Cập nhật các chương trình, đặc biệt là Java, Flash và Adobe Reader. Các chương trình cũ có chứa lỗ hổng bảo mật thường bị khai thác, do đó hãy luôn dùng bản mới nhất.
• Đảm bảo có cài phần mềm bảo mật.
• Sử dụng mật khẩu khó đoán và không dùng mật khẩu giống nhau cho nhiều trang.
• Nếu dùng Remote Desktop Services, đừng kết nối trực tiếp tới Internet mà hãy kết nối qua VPN.

Thông tin IOC về Crysis Arena Ransomware

Hash

ARENA SHA256: a683494fc0d017fd3b4638f8b84caaaac145cc28bc211bd7361723368b4bb21e

Ghi chú trên tập tin FILES ENCRYPTED.TXT

all your data has been locked us
You want to return?
write email chivas@aolonline.top

Ghi chú trên tập tin INFO.hta

All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail chivas@aolonline.top
Write this ID in the title of your message [id]
In case of no answer in 24 hours write us to theese e-mails:chivas@aolonline.top
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.