AeR Ransomware

AeR és un programa amenaçador dissenyat estratègicament per xifrar fitxers en dispositius compromesos, exigint pagaments de rescat per desxifrar-los. El descobriment del ransomware AeR es va produir durant anàlisis exhaustives realitzades per investigadors de seguretat de la informació mentre investigaven possibles amenaces de programari maliciós.

En activar-se als dispositius compromesos, AeR inicia el procés de xifratge, orientant-se a una varietat diversa de tipus de fitxers i modificant els seus noms de fitxer originals. Els títols inicials dels fitxers pateixen una transformació, amb l'addició d'un identificador únic assignat a la víctima, l'adreça de correu electrònic dels ciberdelinqüents i l'extensió '.AeR'. Per il·lustrar-ho, un fitxer originalment etiquetat com a '1.doc' es transformaria en '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Després del procés de xifratge, l'AeR Ransomware genera dues notes de rescat diferents. Els fitxers de text anomenats "info.txt" es col·loquen estratègicament a l'escriptori i als directoris afectats. Simultàniament, un missatge que exigeix un rescat es mostra de manera destacada en una finestra emergent. Cal destacar que l'AeR Ransomware es classifica com a part de la família d'amenaces de programari maliciós Dharma , cosa que indica la seva associació amb un llinatge específic de programari amenaçador.

L'AeR Ransomware pren els fitxers com a ostatges i demana un rescat

Les notes de rescat generades per l'AeR Ransomware es lliuren en dos formats diferents. Tot i que el fitxer de text anomenat 'info.txt' insta essencialment a la víctima a establir contacte amb els ciberdelinqüents responsables de l'atac, la finestra emergent que l'acompanya ofereix informació més detallada sobre la situació. A la finestra emergent, s'informa a la víctima que els seus fitxers han estat xifrats.

El missatge de rescat a la finestra emergent inclou garanties que la recuperació de dades és factible. Tot i així, implica que el procés de desxifrat depèn del pagament d'un rescat en criptomoneda Bitcoin. A més, s'ofereix a la víctima una oportunitat limitada per provar el procés de desxifrat de fins a tres fitxers, subjecte a criteris específics. El missatge conclou amb advertències explícites sobre les conseqüències de l'incompliment.

L'AeR Ransomware s'identifica com a part del grup de programari maliciós Dharma, cosa que indica la seva associació amb un llinatge específic de programari maliciós. Els programes d'aquest grup mostren la capacitat de modificar o xifrar fitxers locals i compartits a la xarxa. En particular, el Dharma Ransomware utilitza una estratègia per finalitzar processos vinculats a fitxers oberts, com ara lectors de fitxers de text o programes de bases de dades. Aquest enfocament ajuda el ransomware a evadir les exempcions de xifratge que es poden produir perquè el contingut es considera "en ús".

Algunes dades s'exclouen automàticament del procés de xifratge per evitar possibles problemes operatius, com ara els fitxers del sistema, que, si es xifren, podrien deixar que el dispositiu no estigui operatiu. A més, els fitxers que ja estan bloquejats per altres programari ransomware estan exempts de xifratge en funció d'una llista de programari maliciós predeterminada. Tanmateix, aquest mecanisme no és impecable, ja que no abasta tots els possibles programes de tipus ransomware, deixant possibles vulnerabilitats en el procés d'exclusió.

Les variants de ransomware Dharma estableixen mecanismes de persistència

El programari Dharma utilitza diverses tècniques per garantir la seva persistència en sistemes compromesos. Un mètode consisteix a copiar el programari maliciós a la ruta %LOCALAPPDATA% i registrar-lo amb claus d'execució específiques, permetent l'execució automàtica a cada reinici del sistema. Per frustrar encara més els esforços de recuperació, el ransomware fa el pas proactiu d'eliminar les còpies del volum d'ombra.

A més d'aquestes mesures de persistència, els programes de Dharma mostren un nivell de sofisticació tenint en compte la geolocalització de les víctimes. Aquesta funcionalitat els permet adaptar els seus atacs, evitant regions amb reptes econòmics on els usuaris domèstics poden tenir menys possibilitats de pagar el rescat. El programari maliciós també pot seleccionar objectius en funció de consideracions geopolítiques.

A partir d'una àmplia anàlisi i investigació de nombroses infeccions de ransomware, es fa evident que el desxifrat sense la participació dels atacants sol ser un repte insuperable. Fins i tot en els casos en què les víctimes opten per pagar el rescat, no hi ha cap garantia de rebre les claus o el programari de desxifrat necessaris. Com a resultat, es recomana fermament no sucumbir a les demandes de rescat, ja que aquestes accions no només no garanteixen la recuperació dels fitxers, sinó que també contribueixen a la perpetuació d'activitats il·legals.

Tot i que l'eliminació de l'AeR Ransomware del sistema és crucial per evitar més xifratge de dades, és essencial tenir en compte que aquest procés per si sol no restaurarà els fitxers ja compromesos. La solució principal consisteix a recuperar fitxers d'una còpia de seguretat segura, sempre que hi hagi una disponible. Això subratlla la importància de mantenir pràctiques de còpia de seguretat regulars i fiables com a component integral d'una estratègia de ciberseguretat eficaç.

La nota de rescat que AeR mostra com a finestra emergent és:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Com obtenir Bitcoins
La manera més fàcil de comprar bitcoins és el lloc LocalBitcoins. Cal registrar-se, fer clic a "Comprar bitcoins" i seleccionar el venedor per mètode de pagament i preu.
hxxps://localbitcoins.com/buy_bitcoins
També podeu trobar altres llocs per comprar Bitcoins i guia per a principiants aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenció!
No canvieu el nom dels fitxers xifrats.
No intenteu desxifrar les vostres dades amb programari de tercers, pot provocar una pèrdua permanent de dades.
El desxifrat dels vostres fitxers amb l'ajuda de tercers pot provocar un augment del preu (afegim la seva tarifa a la nostra) o podeu convertir-vos en víctima d'una estafa.

Els fitxers de text generats per l'amenaça contenen el missatge següent:

Vols tornar?

escriu un correu electrònic aerossh@nerdmail.co o aerossh@cock.li o aerossh@proton.me'