AeR Ransomware

AeR er et truende program, der er strategisk udformet til at kryptere filer på kompromitterede enheder, der kræver løsesum for deres dekryptering. Opdagelsen af AeR ransomware skete under grundige analyser udført af informationssikkerhedsforskere, mens de undersøgte potentielle malwaretrusler.

Ved aktivering inden for de kompromitterede enheder starter AeR krypteringsprocessen, målretter mod en bred vifte af filtyper og ændrer deres originale filnavne. De indledende titler på filer gennemgår en transformation med tilføjelsen af et unikt ID, der er tildelt offeret, e-mailadressen tilhørende de cyberkriminelle og '.AeR'-udvidelsen. For at illustrere, ville en fil oprindeligt mærket som '1.doc' blive transformeret til '1.doc.id-9ECFA74E.[aerosh@nerdmail.co].AeR.'

Efter krypteringsprocessen genererer AeR Ransomware to forskellige løsesumsedler. Tekstfiler med navnet 'info.txt' er strategisk placeret på skrivebordet og i de berørte mapper. Samtidig vises en løsesum-krævende besked fremtrædende i et pop op-vindue. Det er bemærkelsesværdigt, at AeR Ransomware er klassificeret som en del af Dharma- familien af malware-trusler, hvilket indikerer dets tilknytning til en specifik linje af truende software.

AeR Ransomware tager filerne som gidsler og kræver løsesum

Løsesedler genereret af AeR Ransomware leveres i to forskellige formater. Mens tekstfilen med navnet 'info.txt' i det væsentlige opfordrer offeret til at etablere kontakt med de cyberkriminelle, der er ansvarlige for angrebet, giver det medfølgende pop op-vindue mere detaljerede oplysninger om situationen. I pop op-vinduet informeres ofret om, at deres filer har gennemgået kryptering.

Beskeden om løsesum i pop op-vinduet indeholder forsikringer om, at datagendannelse er mulig. Alligevel indebærer det, at dekrypteringsprocessen afhænger af betalingen af en løsesum i Bitcoin cryptocurrency. Derudover tilbydes offeret en begrænset mulighed for at teste dekrypteringsprocessen for op til tre filer, underlagt specifikke kriterier. Meddelelsen afsluttes med eksplicitte advarsler vedrørende konsekvenserne af manglende overholdelse.

AeR Ransomware er identificeret som en del af Dharma malware-gruppen, hvilket indikerer dets tilknytning til en specifik afstamning af skadelig software. Programmer inden for denne gruppe udviser evnen til at ændre eller kryptere både lokale og netværksdelte filer. Især anvender Dharma Ransomware en strategi for at afslutte processer knyttet til åbne filer, såsom tekstfillæsere eller databaseprogrammer. Denne tilgang hjælper ransomware med at undgå undtagelser fra kryptering, der kan opstå på grund af, at indholdet anses for at være 'i brug'.

Visse data udelukkes automatisk fra krypteringsprocessen for at forhindre potentielle driftsproblemer, såsom systemfiler, som, hvis de krypteres, kan gøre enheden ubrugelig. Derudover er filer, der allerede er låst af anden ransomware, fritaget for kryptering baseret på en forudbestemt malwareliste. Denne mekanisme er dog ikke fejlfri, da den ikke omfatter alle mulige programmer af ransomware-typen, hvilket efterlader potentielle sårbarheder i udelukkelsesprocessen.

Dharma Ransomware-varianterne etablerer persistensmekanismer

Dharma-softwaren anvender forskellige teknikker for at sikre dens vedholdenhed på kompromitterede systemer. En metode involverer at kopiere malwaren til %LOCALAPPDATA%-stien og registrere den med specifikke Run-nøgler, hvilket muliggør automatisk udførelse ved hver systemgenstart. For yderligere at modarbejde genoprettelsesbestræbelser tager ransomwaren det proaktive skridt at slette Shadow Volume Copies.

Ud over disse vedholdende foranstaltninger udviser Dharma-programmer et niveau af sofistikering ved at overveje ofrenes geolokalisering. Denne funktionalitet giver dem mulighed for at skræddersy deres angreb og undgå regioner med økonomiske udfordringer, hvor hjemmebrugere kan være mindre tilbøjelige til at betale løsesum. Malwaren kan også vælge mål baseret på geopolitiske overvejelser.

Ved at trække på omfattende analyser og forskning af talrige ransomware-infektioner bliver det tydeligt, at dekryptering uden involvering af angriberne typisk er en uoverkommelig udfordring. Selv i tilfælde, hvor ofrene vælger at betale løsesummen, er der ingen garanti for at modtage de nødvendige dekrypteringsnøgler eller software. Som et resultat frarådes det på det kraftigste at give efter for krav om løsesum, da sådanne handlinger ikke kun mislykkes med at sikre filgendannelse, men også bidrager til opretholdelsen af ulovlige aktiviteter.

Selvom fjernelse af AeR Ransomware fra systemet er afgørende for at forhindre yderligere datakryptering, er det vigtigt at bemærke, at denne proces alene ikke vil gendanne filer, der allerede er kompromitteret. Den primære løsning ligger i at gendanne filer fra en sikker backup, forudsat at en er tilgængelig. Dette understreger vigtigheden af at opretholde regelmæssig og pålidelig backup-praksis som en integreret del af en effektiv cybersikkerhedsstrategi.

Løsesedlen AeR viser som et pop-up vindue er:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for et svindelnummer.

Tekstfilerne genereret af truslen indeholder følgende meddelelse:

Vil du tilbage?

skriv e-mail aerossh@nerdmail.co eller aerossh@cock.li eller aerossh@proton.me'