Multi-License Discount Quote
Βάση δεδομένων απειλών Ransomware AeR Ransomware

AeR Ransomware

Μέχρι το Mezo το Ransomware
Μετάφραση σε:
Ελληνικά

Το AeR είναι ένα απειλητικό πρόγραμμα σχεδιασμένο στρατηγικά για την κρυπτογράφηση αρχείων σε παραβιασμένες συσκευές, απαιτώντας πληρωμές λύτρων για την αποκρυπτογράφηση τους. Η ανακάλυψη του ransomware AeR συνέβη κατά τη διάρκεια ενδελεχών αναλύσεων που διεξήχθησαν από ερευνητές ασφάλειας πληροφοριών κατά τη διερεύνηση πιθανών απειλών κακόβουλου λογισμικού.

Μετά την ενεργοποίηση εντός των παραβιασμένων συσκευών, το AeR ξεκινά τη διαδικασία κρυπτογράφησης, στοχεύοντας μια ποικιλία τύπων αρχείων και τροποποιώντας τα αρχικά τους ονόματα αρχείων. Οι αρχικοί τίτλοι των αρχείων υφίστανται μετασχηματισμό, με την προσθήκη ενός μοναδικού αναγνωριστικού που εκχωρείται στο θύμα, της διεύθυνσης ηλεκτρονικού ταχυδρομείου που ανήκει στους κυβερνοεγκληματίες και της επέκτασης «.AeR». Για παράδειγμα, ένα αρχείο με την αρχική επισήμανση "1.doc" θα μετατραπεί σε "1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR."

Μετά τη διαδικασία κρυπτογράφησης, το AeR Ransomware δημιουργεί δύο διακριτές σημειώσεις λύτρων. Τα αρχεία κειμένου με το όνομα "info.txt" τοποθετούνται στρατηγικά στην επιφάνεια εργασίας και στους καταλόγους που επηρεάζονται. Ταυτόχρονα, ένα μήνυμα που απαιτεί λύτρα εμφανίζεται ευδιάκριτα σε ένα αναδυόμενο παράθυρο. Αξίζει να σημειωθεί ότι το AeR Ransomware ταξινομείται ως μέρος της οικογένειας απειλών κακόβουλου λογισμικού Dharma , υποδεικνύοντας τη συσχέτισή του με μια συγκεκριμένη σειρά απειλητικού λογισμικού.

Το AeR Ransomware παίρνει τα αρχεία ως ομήρους και απαιτεί λύτρα

Οι σημειώσεις λύτρων που δημιουργούνται από το AeR Ransomware παραδίδονται σε δύο διαφορετικές μορφές. Ενώ το αρχείο κειμένου με το όνομα «info.txt» προτρέπει ουσιαστικά το θύμα να επικοινωνήσει με τους κυβερνοεγκληματίες που ευθύνονται για την επίθεση, το συνοδευτικό αναδυόμενο παράθυρο παρέχει πιο λεπτομερείς πληροφορίες για την κατάσταση. Στο αναδυόμενο παράθυρο, το θύμα ενημερώνεται ότι τα αρχεία του έχουν υποστεί κρυπτογράφηση.

Το μήνυμα λύτρων στο αναδυόμενο παράθυρο περιλαμβάνει διαβεβαιώσεις ότι η ανάκτηση δεδομένων είναι εφικτή. Ωστόσο, υπονοεί ότι η διαδικασία αποκρυπτογράφησης εξαρτάται από την πληρωμή λύτρων σε κρυπτονόμισμα Bitcoin. Επιπλέον, προσφέρεται στο θύμα μια περιορισμένη ευκαιρία να δοκιμάσει τη διαδικασία αποκρυπτογράφησης για έως και τρία αρχεία, σύμφωνα με συγκεκριμένα κριτήρια. Το μήνυμα ολοκληρώνεται με ρητές προειδοποιήσεις σχετικά με τις συνέπειες της μη συμμόρφωσης.

Το AeR Ransomware αναγνωρίζεται ως μέρος της ομάδας κακόβουλου λογισμικού Dharma, υποδεικνύοντας τη συσχέτισή του με μια συγκεκριμένη σειρά κακόβουλου λογισμικού. Τα προγράμματα αυτής της ομάδας παρουσιάζουν τη δυνατότητα τροποποίησης ή κρυπτογράφησης τόσο των τοπικών όσο και των κοινόχρηστων αρχείων δικτύου. Συγκεκριμένα, το Dharma Ransomware χρησιμοποιεί μια στρατηγική τερματισμού διαδικασιών που συνδέονται με ανοιχτά αρχεία, όπως προγράμματα ανάγνωσης αρχείων κειμένου ή προγράμματα βάσης δεδομένων. Αυτή η προσέγγιση βοηθά το ransomware να αποφύγει τις εξαιρέσεις από κρυπτογράφηση που μπορεί να προκύψουν λόγω του περιεχομένου που θεωρείται "σε χρήση".

Ορισμένα δεδομένα εξαιρούνται αυτόματα από τη διαδικασία κρυπτογράφησης για να αποτραπούν πιθανά λειτουργικά ζητήματα, όπως αρχεία συστήματος, τα οποία, εάν κρυπτογραφηθούν, θα μπορούσαν να καταστήσουν τη συσκευή μη λειτουργική. Επιπλέον, τα αρχεία που είναι ήδη κλειδωμένα από άλλα ransomware εξαιρούνται από την κρυπτογράφηση με βάση μια προκαθορισμένη λίστα κακόβουλου λογισμικού. Ωστόσο, αυτός ο μηχανισμός δεν είναι άψογος, καθώς δεν περιλαμβάνει όλα τα πιθανά προγράμματα τύπου ransomware, αφήνοντας πιθανά τρωτά σημεία στη διαδικασία αποκλεισμού.

Οι παραλλαγές του Dharma Ransomware Καθιερώνουν Μηχανισμούς Εμμονής

Το λογισμικό Dharma χρησιμοποιεί διάφορες τεχνικές για να εξασφαλίσει την επιμονή του σε παραβιασμένα συστήματα. Μια μέθοδος περιλαμβάνει την αντιγραφή του κακόβουλου λογισμικού στη διαδρομή %LOCALAPPDATA% και την καταχώρισή του με συγκεκριμένα κλειδιά Εκτέλεσης, επιτρέποντας την αυτόματη εκτέλεση σε κάθε επανεκκίνηση του συστήματος. Για να αποτρέψει περαιτέρω τις προσπάθειες ανάκτησης, το ransomware κάνει το προληπτικό βήμα της διαγραφής των αντιγράφων τόμου σκιάς.

Εκτός από αυτά τα μέτρα επιμονής, τα προγράμματα Ντάρμα επιδεικνύουν ένα επίπεδο πολυπλοκότητας λαμβάνοντας υπόψη τη γεωγραφική θέση των θυμάτων. Αυτή η λειτουργικότητα τους επιτρέπει να προσαρμόζουν τις επιθέσεις τους, αποφεύγοντας περιοχές με οικονομικές προκλήσεις όπου οι οικικοί χρήστες ενδέχεται να είναι λιγότερο πιθανό να αντέξουν οικονομικά πληρωμές λύτρων. Το κακόβουλο λογισμικό μπορεί επίσης να επιλέξει στόχους βάσει γεωπολιτικών εκτιμήσεων.

Με βάση την εκτεταμένη ανάλυση και έρευνα πολλών μολύνσεων ransomware, γίνεται προφανές ότι η αποκρυπτογράφηση χωρίς τη συμμετοχή των εισβολέων είναι συνήθως μια ανυπέρβλητη πρόκληση. Ακόμη και σε περιπτώσεις όπου τα θύματα επιλέγουν να πληρώσουν τα λύτρα, δεν υπάρχει καμία εγγύηση ότι θα λάβουν τα απαραίτητα κλειδιά ή λογισμικό αποκρυπτογράφησης. Ως αποτέλεσμα, συνιστάται ανεπιφύλακτα να μην υποκύψετε σε αιτήματα λύτρων, καθώς τέτοιες ενέργειες όχι μόνο αποτυγχάνουν να εξασφαλίσουν την ανάκτηση αρχείων αλλά συμβάλλουν επίσης στη διαιώνιση παράνομων δραστηριοτήτων.

Ενώ η αφαίρεση του AeR Ransomware από το σύστημα είναι ζωτικής σημασίας για την αποτροπή περαιτέρω κρυπτογράφησης δεδομένων, είναι σημαντικό να σημειωθεί ότι αυτή η διαδικασία από μόνη της δεν θα επαναφέρει αρχεία που έχουν ήδη παραβιαστεί. Η κύρια λύση έγκειται στην ανάκτηση αρχείων από ένα ασφαλές αντίγραφο ασφαλείας, με την προϋπόθεση ότι είναι διαθέσιμο. Αυτό υπογραμμίζει τη σημασία της διατήρησης τακτικών και αξιόπιστων πρακτικών δημιουργίας αντιγράφων ασφαλείας ως αναπόσπαστο στοιχείο μιας αποτελεσματικής στρατηγικής για την ασφάλεια στον κυβερνοχώρο.

Η σημείωση λύτρων που εμφανίζεται ως αναδυόμενο παράθυρο AeR είναι:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Τα αρχεία κειμένου που δημιουργούνται από την απειλή περιέχουν το ακόλουθο μήνυμα:

Θέλετε να επιστρέψετε;

γράψτε email aerossh@nerdmail.co ή aerossh@cock.li ή aerossh@proton.me'

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
28,855
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...