データファイルを「.arena」拡張子変えて暗号化してしまいます。同じ拡張子に暗号化してしまうランサムウェアには2種類のランサムウェアがあります。
ひとつは、CryptoMixランサムウェアの亜種です。
身代金ファイルは「_HELP_INSTRUCTION.TXT」です。暗号化ファイルは「16進数.arena」の形式に変更されます。
特徴は公開RSA-1024暗号化キーを持っているので、オフライン下でもC&Cサーバーと通信する事なく暗号化の動作に入れることです。
もうひとつは、CrysisランサムウェアまたはDharmaランサムウェアの亜種です。
身代金ファイルは「FILES ENCRYPTED.txt 」です。
このランサムウェアは、今年の2~3月頃に感染拡大した「.wallet」拡張子に変えてしまう Dharmaランサムウェアの系統です。
データファイルは、元のファイル名にid-********.[sindragosa@bigmir.net].arenaが追加されてしまいます。
犯人側にメールを送ると、身代金の支払い方法、復号プログラムの受け取り方が連絡されます。個々の身代金額はBTCの高騰もあり変化しているようです。
Locky系統のOsirisランサムウェアのようなシステム化された身代金の支払い、復号プログラムのダウンロードがあるわけではありません。
どのようなケースであってもデータを戻す復号サービスをしています。お困りの方はご連絡下さい。