AeR الفدية
AeR هو برنامج تهديد تم تصميمه بشكل استراتيجي لتشفير الملفات الموجودة على الأجهزة المخترقة، ويطالب بدفع فدية مقابل فك تشفيرها. تم اكتشاف برنامج الفدية AeR أثناء التحليلات الشاملة التي أجراها باحثو أمن المعلومات أثناء التحقيق في تهديدات البرامج الضارة المحتملة.
عند التنشيط داخل الأجهزة المخترقة، يبدأ AeR عملية التشفير، ويستهدف مجموعة متنوعة من أنواع الملفات ويعدل أسماء الملفات الأصلية الخاصة بها. تخضع العناوين الأولية للملفات لعملية تحويل، مع إضافة معرف فريد مخصص للضحية، وعنوان البريد الإلكتروني الخاص بمجرمي الإنترنت، والامتداد ".AeR". للتوضيح، سيتم تحويل الملف الذي تم تسميته في الأصل باسم "1.doc" إلى "1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR."
بعد عملية التشفير، يقوم برنامج AeR Ransomware بإنشاء مذكرتي فدية متميزتين. يتم وضع الملفات النصية المسماة "info.txt" بشكل استراتيجي على سطح المكتب وضمن الأدلة المتأثرة. وفي الوقت نفسه، يتم عرض رسالة تطالب بفدية بشكل بارز في نافذة منبثقة. من الجدير بالذكر أن برنامج AeR Ransomware تم تصنيفه كجزء من عائلة Dharma للتهديدات الضارة، مما يشير إلى ارتباطه بسلسلة محددة من برامج التهديد.
يأخذ برنامج AeR Ransomware الملفات كرهينة ويطلب فدية
يتم تسليم ملاحظات الفدية التي تم إنشاؤها بواسطة AeR Ransomware بتنسيقين مختلفين. في حين أن الملف النصي المسمى "info.txt" يحث الضحية بشكل أساسي على إقامة اتصال مع مجرمي الإنترنت المسؤولين عن الهجوم، فإن النافذة المنبثقة المصاحبة توفر معلومات أكثر تفصيلاً حول الموقف. في النافذة المنبثقة، يتم إعلام الضحية بأن ملفاته قد خضعت للتشفير.
تتضمن رسالة الفدية في النافذة المنبثقة تأكيدات بإمكانية استعادة البيانات. ومع ذلك، فهذا يعني أن عملية فك التشفير تتوقف على دفع فدية بعملة البيتكوين المشفرة. بالإضافة إلى ذلك، يُتاح للضحية فرصة محدودة لاختبار عملية فك التشفير لما يصل إلى ثلاثة ملفات، وفقًا لمعايير محددة. وتختتم الرسالة بتحذيرات صريحة بشأن عواقب عدم الامتثال.
تم تحديد برنامج AeR Ransomware كجزء من مجموعة البرامج الضارة Dharma، مما يشير إلى ارتباطه بسلسلة محددة من البرامج الضارة. تتميز البرامج الموجودة ضمن هذه المجموعة بالقدرة على تعديل أو تشفير الملفات المحلية والملفات المشتركة على الشبكة. والجدير بالذكر أن برنامج Dharma Ransomware يستخدم استراتيجية إنهاء العمليات المرتبطة بالملفات المفتوحة، مثل برامج قراءة الملفات النصية أو برامج قواعد البيانات. يساعد هذا الأسلوب برامج الفدية على تجنب الإعفاءات من التشفير التي قد تحدث بسبب اعتبار المحتوى "قيد الاستخدام".
يتم استبعاد بعض البيانات تلقائيًا من عملية التشفير لمنع حدوث مشكلات تشغيلية محتملة، مثل ملفات النظام، والتي، إذا تم تشفيرها، قد تجعل الجهاز غير قابل للعمل. بالإضافة إلى ذلك، يتم إعفاء الملفات المقفلة بالفعل بواسطة برامج الفدية الأخرى من التشفير بناءً على قائمة البرامج الضارة المحددة مسبقًا. ومع ذلك، فإن هذه الآلية ليست خالية من العيوب، لأنها لا تشمل جميع البرامج المحتملة من نوع برامج الفدية، مما يترك نقاط ضعف محتملة في عملية الاستبعاد.
تنشئ متغيرات Dharma Ransomware آليات الثبات
يستخدم برنامج Dharma تقنيات مختلفة لضمان استمراره على الأنظمة المخترقة. تتضمن إحدى الطرق نسخ البرنامج الضار إلى مسار %LOCALAPPDATA% وتسجيله باستخدام مفاتيح تشغيل محددة، مما يتيح التنفيذ التلقائي عند كل إعادة تشغيل للنظام. ولإحباط جهود الاسترداد بشكل أكبر، يتخذ برنامج الفدية خطوة استباقية تتمثل في حذف نسخ Shadow Volume Copies.
بالإضافة إلى مقاييس المثابرة هذه، تظهر برامج الدارما مستوى من التطور من خلال النظر في الموقع الجغرافي للضحايا. تتيح لهم هذه الوظيفة تصميم هجماتهم، وتجنب المناطق التي تواجه تحديات اقتصادية حيث قد يكون المستخدمون المنزليون أقل احتمالاً لتحمل دفع الفدية. يمكن للبرامج الضارة أيضًا تحديد الأهداف بناءً على الاعتبارات الجيوسياسية.
وبالاعتماد على التحليل والأبحاث المكثفة للعديد من إصابات برامج الفدية، يصبح من الواضح أن فك التشفير دون مشاركة المهاجمين يمثل عادةً تحديًا لا يمكن التغلب عليه. حتى في الحالات التي يختار فيها الضحايا دفع الفدية، ليس هناك ضمان لتلقي مفاتيح أو برامج فك التشفير اللازمة. ونتيجة لذلك، يُنصح بشدة بعدم الخضوع لطلبات الفدية، لأن مثل هذه الإجراءات لا تفشل فقط في ضمان استرداد الملفات ولكنها تساهم أيضًا في إدامة الأنشطة غير القانونية.
في حين أن إزالة AeR Ransomware من النظام أمر بالغ الأهمية لمنع المزيد من تشفير البيانات، فمن الضروري ملاحظة أن هذه العملية وحدها لن تستعيد الملفات التي تم اختراقها بالفعل. يكمن الحل الأساسي في استعادة الملفات من نسخة احتياطية آمنة، على افتراض توفرها. وهذا يؤكد أهمية الحفاظ على ممارسات النسخ الاحتياطي المنتظمة والموثوقة باعتبارها جزءًا لا يتجزأ من استراتيجية الأمن السيبراني الفعالة.
ملاحظة الفدية التي تظهرها AeR كنافذة منبثقة هي:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)كيفية الحصول على البيتكوين
أسهل طريقة لشراء البيتكوين هي موقع LocalBitcoins. يجب عليك التسجيل، والنقر فوق "شراء عملات البيتكوين"، واختيار البائع حسب طريقة الدفع والسعر.
hxxps://localbitcoins.com/buy_bitcoins
كما يمكنك العثور على أماكن أخرى لشراء Bitcoins ودليل المبتدئين هنا:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/انتباه!
لا تقم بإعادة تسمية الملفات المشفرة.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث، فقد يتسبب ذلك في فقدان دائم للبيانات.
قد يؤدي فك تشفير ملفاتك بمساعدة أطراف ثالثة إلى زيادة السعر (يضيفون رسومهم إلى رسومنا) أو قد تصبح ضحية لعملية احتيال.تحتوي الملفات النصية التي تم إنشاؤها بواسطة التهديد على الرسالة التالية:
تريد العودة؟
اكتب بريدًا إلكترونيًا إلى aerossh@nerdmail.co أو aerossh@cock.li أو aerossh@proton.me'
