AeR Ransomware

AeR е заплашителна програма, стратегически създадена да криптира файлове на компрометирани устройства, като изисква плащания на откуп за тяхното дешифриране. Откриването на AeR ransomware стана по време на задълбочени анализи, извършени от изследователи по информационна сигурност, докато разследваха потенциални заплахи от зловреден софтуер.

При активиране в рамките на компрометираните устройства, AeR инициира процеса на криптиране, насочвайки се към разнообразен набор от типове файлове и модифицирайки техните оригинални файлови имена. Първоначалните заглавия на файлове претърпяват трансформация с добавяне на уникален идентификатор, присвоен на жертвата, имейл адрес, принадлежащ на киберпрестъпниците, и разширение „.AeR“. За илюстрация, файл, първоначално обозначен като „1.doc“, ще бъде трансформиран в „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.“

След процеса на криптиране AeR Ransomware генерира две отделни бележки за откуп. Текстовите файлове с име „info.txt“ са стратегически поставени на работния плот и в засегнатите директории. Едновременно с това съобщение с искане на откуп се показва на видно място в изскачащ прозорец. Трябва да се отбележи, че AeR рансъмуерът е класифициран като част от семейството на заплахите за зловреден софтуер Dharma , което показва връзката му с конкретна линия на заплашителен софтуер.

AeR Ransomware взема файловете за заложници и изисква откуп

Бележките за откуп, генерирани от AeR Ransomware, се доставят в два различни формата. Докато текстовият файл с име „info.txt“ по същество призовава жертвата да установи контакт с киберпрестъпниците, отговорни за атаката, съпътстващият изскачащ прозорец предоставя по-подробна информация за ситуацията. В изскачащия прозорец жертвата се информира, че нейните файлове са били криптирани.

Съобщението за откуп в изскачащия прозорец включва гаранции, че възстановяването на данни е възможно. Все пак това предполага, че процесът на дешифриране зависи от плащането на откуп в криптовалута биткойн. Освен това на жертвата се предлага ограничена възможност да тества процеса на дешифриране за до три файла, при спазване на специфични критерии. Съобщението завършва с изрични предупреждения относно последствията от неспазване.

AeR рансъмуерът е идентифициран като част от групата злонамерен софтуер Dharma, което показва връзката му с конкретна линия злонамерен софтуер. Програмите в тази група показват способността да променят или криптират както локални, така и споделени в мрежа файлове. По-специално, Dharma Ransomware използва стратегия за прекратяване на процеси, свързани с отворени файлове, като четци на текстови файлове или програми за бази данни. Този подход помага на рансъмуера да избегне изключения от криптиране, които могат да възникнат поради това, че съдържанието се счита за „в употреба“.

Определени данни се изключват автоматично от процеса на криптиране, за да се предотвратят потенциални оперативни проблеми, като например системни файлове, които, ако бъдат криптирани, могат да направят устройството неработещо. Освен това файловете, които вече са заключени от друг ransomware, са освободени от криптиране въз основа на предварително определен списък със зловреден софтуер. Този механизъм обаче не е безупречен, тъй като не обхваща всички възможни програми от типа на ransomware, което оставя потенциални уязвимости в процеса на изключване.

Вариантите на Dharma Ransomware установяват механизми за устойчивост

Софтуерът Dharma използва различни техники, за да гарантира своята устойчивост на компрометирани системи. Един метод включва копиране на злонамерения софтуер в пътя %LOCALAPPDATA% и регистрирането му със специфични ключове за изпълнение, което позволява автоматично изпълнение при всяко рестартиране на системата. За да осуети допълнително усилията за възстановяване, рансъмуерът предприема проактивна стъпка за изтриване на Shadow Volume Copies.

В допълнение към тези мерки за устойчивост, програмите на Дхарма показват ниво на сложност, като вземат предвид геолокацията на жертвите. Тази функционалност им позволява да адаптират атаките си, като избягват региони с икономически предизвикателства, където домашните потребители може да са по-малко склонни да си позволят плащания за откуп. Зловреден софтуер може също така да избира цели въз основа на геополитически съображения.

Въз основа на задълбочен анализ и изследване на множество инфекции с ransomware става очевидно, че дешифрирането без участието на нападателите обикновено е непреодолимо предизвикателство. Дори в случаите, когато жертвите изберат да платят откупа, няма гаранция за получаване на необходимите ключове за дешифриране или софтуер. В резултат на това силно се препоръчва да не се поддавате на искания за откуп, тъй като подобни действия не само не гарантират възстановяване на файлове, но също така допринасят за продължаването на незаконни дейности.

Въпреки че премахването на AeR Ransomware от системата е от решаващо значение за предотвратяване на по-нататъшно криптиране на данни, важно е да се отбележи, че този процес сам по себе си няма да възстанови вече компрометирани файлове. Основното решение се крие във възстановяването на файлове от защитен архив, ако приемем, че такъв е наличен. Това подчертава значението на поддържането на редовни и надеждни практики за архивиране като неразделен компонент на ефективна стратегия за киберсигурност.

Бележката за откуп, която AeR показва като изскачащ прозорец, е:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да доведе до трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.

Текстовите файлове, генерирани от заплахата, съдържат следното съобщение:

Искаш ли да се върнеш?

пишете на имейл aerossh@nerdmail.co или aerossh@cock.li или aerossh@proton.me'