Вредоносная программа Arena Ransomware

Описание Arena Ransomware

    Вредоносная программа (шифровальщик-вымогатель), шифрует данные пользователей с помощью криптографических алгоритмов шифрования AES и RSA, при этом для расшифровки данных требует денег.

    Впервые вредоносная программа была обнаружена в августе 2017 г. и с тех пор несколько раз модифицировалась. Разные модификации Arena Ransomware требуют за расшифровку разные суммы, варьирующиеся от 0,20 до 0,73 битконтейнов (около 5000 долларов).

    Вредоносная программа начинает шифровать все данные жертвы, добавляя расширение «.arena», а также назначает определённый идентификатор, который используется для обозначения зашифрованных данных, предположительно, для отправки ключа дешифрования.

    После шифрования данных, Rаnsomware Arena создаёт файл FILES ENCRYPTED.txt, содержащий следующий текст:

  1. Все Ваши данные зашифрованы.
  2. Вы хотите вернуться в прежнее состояние?
  3. Напишите письмо (адрес электронной почты).

Способ распространения компьютерного вируса Arena Ransomware

    Arena Ransomware распространяется по электронной почте с использованием вредоносного вложения с расширением 7z. Чаще всего электронные письма имеют статус счета-фактуры в строке темы. После открытия электронного письма через скрипт VBS загружает основной исполняемый файл Arena Ransomware.

    Также вредоносная программа может распространяться через незащищённую конфигурацию протокола RDP (протокол удалённого рабочего стола), загрузки файлов с непроверенных источников и другое.

Способы удаления компьютерного вируса Arena Ransomware

  1. Удаление вредоносной программы в ручном режиме с переключением ОС в безопасный режим и удалением следующих файлов Arena Ransomware: Skanda.exe, worm.exe, adobe.exe, README.txt, FILES ENCRYPTED.txt и атрибуты реестра no information.
    Примечание: не рекомендуется удалять Renaomware Arena вручную, для более безопасного использования используйте специализированые утилиты для удаления.
  2. Удаление вредоносной программы с помощью специализированных утилит: SpyHunter, Reimage, Malwarebytes Anti Malware и др. переключив ОС в безопасный режим.
  3. Восстановление системы (System restore) используя встроенный компонент Windows (процесс rstrui.exe), предназначенного для восстановления работоспособности ОС путём отката (восстановления предыдущего состояния ПК, до момента заражения) системных файлов, ключей реестра, установленных программ, данных и т.д.

Способы восстановления зашифрованных файлов.

    Частичное восстановление зашифрованных файлов позволяет производить следующие продукты:

  • Утилиты предназначенные для восстановления удалённых файлов: ShadowExplorer, PhotoRec, r-studio, recuva, data recovery и др.

    Примечание: В случае, если вредоносной программе не удалось удалить теневые копии данных с компьютера жертвы, их можно восстановить с помощью вышеуказанных утилит. Однако, если вредоносная программа успешно удалила теневые копии из системы, то утилиты не смогут восстановить данные.
  • Программы дешифровальщики предназначенные для расшифрования зашифрованных файлов: RakhniDecryptor, 777Decrypt, RannohDecryptor и другие.

    Примечание: На сегодняшний день Arena Ransomware дешефрованию не подлежат.

Рекомендации по предотвращению заражения Arena Ransomware

   

  1. Повышение осведомлённости сотрудников, специалистами информационной безопасности (не открывать файлы с двойным расширением 1СRecord.xlsx.scr, не включать макросы в недоваренных документах Microsoft Office, проверять адреса отправителей почтовых сообщений, не открывать ссылки на веб-страницы и почтовые вложения от неизвестных отправителей, перед открытием подозрительных вложений проверять их на наличие вредоносного контента используя инструменты VirusTotal, Metascan Online и др.).
  2. Регулярное обновление системного и прикладного программного обеспечения (ПО) с учётом приоритизации по степени критичности обновлений (Patch Management), что позволит предотвратить заражение через известные уязвимости.
  3. Регулярное резервное копирование критически важных данных серверов, информационных систем, систем хранения данных, рабочих мест пользователей (если предполагается хранение критичной информации). Резервные копии должны храниться в системах хранения данных (СХД), съёмных носителях информации (при условии, что носитель информации не подключён постоянно к рабочей станции или серверу), а также в облачных системах резервирования данных, хранилищах.
  4. Конфигурирование встроенных систем фильтрации электронной почты, обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk), файлы ярлыков Windows (.lnk) и т.п.).
  5. Использование систем контентной фильтрации веб-трафика, обеспечивающих разграничение и контроль доступа пользователей к сети Интернет, потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц (Kerio Control, Usergate, Forefront TMG, SQUID и др.).
  6. Обеспечение контроля подключения внешних устройств, блокировка неиспользуемых портов на защищаемых хостах для исключения подключения к защищаемым хостам несанкционированных устройств: как носителей информации с потенциально вредоносными программами, так и внешних шлюзов доступа к Интернету (3G, 4G-модемы), обеспечивающих неконтролируемый и незащищённый канал доступа к сети Интернет и реализуется решениями средств защиты информации от несанкционированного доступа для конечных пользователей (Endpoint Protection).
  7. Обеспечение антивирусной защиты на всех рабочих станциях. Антивирусное ПО должно обнаруживать факты вирусного заражения оперативной памяти, локальных носителей информации, томов, каталогов, файлов, а также файлов, получаемых по каналам связи, электронных сообщений на рабочих местах, серверах, виртуальных машинах в реальном времени, лечить, удалять или изолировать угрозы. Сигнатурные базы антивирусного ПО должны регулярно обновляться и находиться в актуальном состоянии.