AeR Ransomware

AeR je hrozivý program strategicky vytvořený k šifrování souborů na kompromitovaných zařízeních a za jejich dešifrování vyžaduje platby výkupného. K odhalení ransomwaru AeR došlo během důkladných analýz prováděných výzkumníky informační bezpečnosti při zkoumání potenciálních hrozeb malwaru.

Po aktivaci v kompromitovaných zařízeních AeR zahájí proces šifrování, zaměří se na různé typy souborů a upraví jejich původní názvy souborů. Počáteční názvy souborů projdou transformací a přidá se jedinečné ID přidělené oběti, e-mailová adresa patřící kyberzločincům a přípona „.AeR“. Pro ilustraci, soubor původně označený jako '1.doc' by byl transformován na '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Po procesu šifrování AeR Ransomware vygeneruje dvě odlišné poznámky o výkupném. Textové soubory s názvem 'info.txt' jsou strategicky umístěny na ploše a v postižených adresářích. Současně se ve vyskakovacím okně nápadně zobrazí zpráva požadující výkupné. Je pozoruhodné, že AeR Ransomware je klasifikován jako součást rodiny malwarových hrozeb Dharma , což naznačuje jeho spojení s konkrétní linií ohrožujícího softwaru.

AeR Ransomware si bere soubory jako rukojmí a požaduje výkupné

Výkupné generované AeR Ransomware jsou dodávány ve dvou různých formátech. Zatímco textový soubor s názvem „info.txt“ v podstatě vyzývá oběť, aby navázala kontakt s kyberzločinci odpovědnými za útok, doprovodné vyskakovací okno poskytuje podrobnější informace o situaci. Ve vyskakovacím okně je oběť informována, že její soubory prošly šifrováním.

Zpráva o výkupném ve vyskakovacím okně obsahuje ujištění, že obnova dat je proveditelná. Přesto to znamená, že proces dešifrování závisí na zaplacení výkupného v kryptoměně Bitcoin. Oběti je navíc nabídnuta omezená příležitost otestovat proces dešifrování až pro tři soubory, a to podle specifických kritérií. Zpráva končí výslovným varováním ohledně důsledků nedodržení.

AeR Ransomware je identifikován jako součást skupiny malwaru Dharma, což naznačuje jeho spojení s konkrétní linií škodlivého softwaru. Programy v této skupině vykazují schopnost upravovat nebo šifrovat místní i síťové soubory. Zejména Dharma Ransomware využívá strategii ukončování procesů spojených s otevřenými soubory, jako jsou čtečky textových souborů nebo databázové programy. Tento přístup pomáhá ransomwaru vyhnout se výjimkám ze šifrování, které mohou nastat kvůli obsahu, který je považován za „používaný“.

Některá data jsou automaticky vyloučena z procesu šifrování, aby se předešlo potenciálním provozním problémům, jako jsou systémové soubory, které by v případě šifrování mohly způsobit nefunkčnost zařízení. Kromě toho jsou soubory již zamčené jiným ransomwarem osvobozeny od šifrování na základě předem určeného seznamu malwaru. Tento mechanismus však není bezchybný, protože nezahrnuje všechny možné programy typu ransomware, takže v procesu vyloučení zůstávají potenciální zranitelnosti.

Varianty Dharma Ransomware vytvářejí mechanismy perzistence

Software Dharma využívá různé techniky k zajištění jeho přetrvávání na kompromitovaných systémech. Jedna metoda zahrnuje zkopírování malwaru do cesty %LOCALAPPDATA% a jeho registraci pomocí specifických kláves Run, což umožňuje automatické spuštění při každém restartu systému. K dalšímu zmaření úsilí o obnovu podniká ransomware proaktivní krok odstranění stínových kopií svazku.

Kromě těchto opatření k vytrvalosti programy Dharma vykazují určitou úroveň propracovanosti tím, že berou v úvahu geolokaci obětí. Tato funkce jim umožňuje přizpůsobit své útoky a vyhnout se regionům s ekonomickými problémy, kde je méně pravděpodobné, že by si domácí uživatelé mohli dovolit platby výkupného. Malware může také vybírat cíle na základě geopolitických úvah.

Na základě rozsáhlé analýzy a výzkumu četných ransomwarových infekcí je zřejmé, že dešifrování bez účasti útočníků je obvykle nepřekonatelnou výzvou. I v případech, kdy se oběti rozhodnou zaplatit výkupné, neexistuje žádná záruka, že obdrží potřebné dešifrovací klíče nebo software. V důsledku toho se důrazně nedoporučuje podlehnout požadavkům na výkupné, protože takové akce nejenže nezajistí obnovu souborů, ale také přispívají k přetrvávání nezákonných aktivit.

I když je odstranění AeR Ransomware ze systému zásadní, aby se zabránilo dalšímu šifrování dat, je nezbytné si uvědomit, že tento proces sám o sobě neobnoví již kompromitované soubory. Primární řešení spočívá v obnově souborů ze zabezpečené zálohy, za předpokladu, že je k dispozici. To podtrhuje důležitost udržování pravidelných a spolehlivých postupů zálohování jako nedílné součásti efektivní strategie kybernetické bezpečnosti.

Výkupné AeR zobrazené jako vyskakovací okno je:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Jak získat bitcoiny
Nejjednodušší způsob, jak koupit bitcoiny, je stránka LocalBitcoins. Musíte se zaregistrovat, kliknout na „Koupit bitcoiny“ a vybrat prodejce podle způsobu platby a ceny.
hxxps://localbitcoins.com/buy_bitcoins
Zde také najdete další místa, kde si můžete koupit bitcoiny a průvodce pro začátečníky:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pozornost!
Nepřejmenovávejte šifrované soubory.
Nepokoušejte se dešifrovat data pomocí softwaru třetích stran, může to způsobit trvalou ztrátu dat.
Dešifrování vašich souborů pomocí třetích stran může způsobit zvýšení ceny (přidají svůj poplatek k našemu) nebo se můžete stát obětí podvodu.

Textové soubory generované hrozbou obsahují následující zprávu:

Chcete se vrátit?

napište e-mail aerossh@nerdmail.co nebo aerossh@cock.li nebo aerossh@proton.me'