AeR Ransomware

AeR on ähvardav programm, mis on strateegiliselt loodud ohustatud seadmetes olevate failide krüpteerimiseks, nõudes nende dekrüpteerimise eest lunaraha. AeR lunavara avastati infoturbe uurijate poolt läbi viidud põhjalike analüüside käigus potentsiaalsete pahavaraohtude uurimisel.

Pärast aktiveerimist ohustatud seadmetes käivitab AeR krüpteerimisprotsessi, sihib erinevaid failitüüpe ja muudab nende algseid failinimesid. Failide esialgsed pealkirjad muudetakse, lisades ohvrile määratud unikaalse ID, küberkurjategijate e-posti aadressi ja laiendi ".AeR". Illustreerimiseks muudetaks fail, mille algne silt oli '1.doc', failiks 1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.

Pärast krüpteerimisprotsessi genereerib AeR Ransomware kaks erinevat lunaraha. Tekstifailid nimega 'info.txt' on strateegiliselt paigutatud töölauale ja mõjutatud kataloogidesse. Samal ajal kuvatakse hüpikaknas selgelt lunaraha nõudev teade. Tähelepanuväärne on, et AeR Ransomware on klassifitseeritud pahavaraohtude Dharma perekonna osaks, mis näitab selle seost ohustava tarkvara konkreetse liiniga.

AeR-i lunavara võtab failid pantvangi ja nõuab lunaraha

AeR Ransomware loodud lunarahatähti tarnitakse kahes erinevas vormingus. Kui tekstifail nimega 'info.txt' kutsub ohvrit sisuliselt üles looma kontakti rünnaku eest vastutavate küberkurjategijatega, siis kaasas olev hüpikaken annab olukorra kohta täpsemat teavet. Hüpikaknas antakse ohvrile teada, et tema failid on krüpteeritud.

Hüpikaknas olev lunarahateade sisaldab kinnitust, et andmete taastamine on teostatav. Siiski tähendab see, et dekrüpteerimisprotsess sõltub lunaraha maksmisest Bitcoini krüptovaluutas. Lisaks pakutakse ohvrile piiratud võimalust testida kuni kolme faili dekrüpteerimisprotsessi vastavalt konkreetsetele kriteeriumidele. Sõnum lõpeb selgesõnaliste hoiatustega mittevastavuse tagajärgede kohta.

AeR Ransomware on identifitseeritud Dharma pahavara rühma osana, mis näitab selle seost teatud ründetarkvara liiniga. Selle rühma programmidel on võimalus muuta või krüptida nii kohalikke kui ka võrgus jagatud faile. Nimelt kasutab Dharma Ransomware strateegiat avatud failidega seotud protsesside (nt tekstifailide lugejad või andmebaasiprogrammid) lõpetamiseks. See lähenemine aitab lunavaral vältida krüpteerimise erandeid, mis võivad tekkida, kuna sisu loetakse kasutusel olevaks.

Teatud andmed jäetakse krüpteerimisprotsessist automaatselt välja, et vältida võimalikke tööprobleeme, nagu süsteemifailid, mis võivad krüpteerimise korral muuta seadme mittetöötavaks. Lisaks vabastatakse eelnevalt kindlaksmääratud pahavara loendi alusel krüpteerimisest failid, mis on juba lukustatud muu lunavara poolt. See mehhanism ei ole siiski veatu, kuna see ei hõlma kõiki võimalikke lunavara-tüüpi programme, jättes väljajätmise protsessi potentsiaalsed haavatavused.

Dharma lunavara variandid loovad püsivusmehhanismid

Dharma tarkvara kasutab erinevaid tehnikaid, et tagada selle püsivus ohustatud süsteemides. Üks meetod hõlmab pahavara kopeerimist %LOCALAPPDATA% teele ja selle registreerimist konkreetsete käitamisvõtmetega, võimaldades automaatset käivitamist iga süsteemi taaskäivitamise korral. Taastamispüüdluste edasiseks takistamiseks astub lunavara ennetavalt Shadow Volume Copiete kustutamiseks.

Lisaks nendele püsivusmeetmetele näitavad Dharma programmid ohvrite geograafilist asukohta arvesse võttes keerukat taset. See funktsioon võimaldab neil oma rünnakuid kohandada, vältides majandusprobleemidega piirkondi, kus kodukasutajad ei pruugi lunaraha maksta. Pahavara võib sihtmärke valida ka geopoliitiliste kaalutluste põhjal.

Arvukate lunavaranakkuste ulatusliku analüüsi ja uurimistöö põhjal on ilmne, et dekrüpteerimine ilma ründajaid kaasamata on tavaliselt ületamatu väljakutse. Isegi juhtudel, kui ohvrid otsustavad lunaraha maksta, ei ole mingit garantiid, et nad saavad vajalikke dekrüpteerimisvõtmeid või tarkvara. Seetõttu ei soovitata tungivalt lunaraha nõudmistele alluda, kuna sellised toimingud mitte ainult ei taga failide taastamist, vaid aitavad kaasa ka ebaseaduslike tegevuste jätkumisele.

Kuigi AeR Ransomware eemaldamine süsteemist on andmete edasise krüptimise vältimiseks ülioluline, on oluline arvestada, et see protsess üksi ei taasta juba ohustatud faile. Peamine lahendus seisneb failide taastamises turvalisest varukoopiast, eeldusel, et see on saadaval. See rõhutab regulaarsete ja usaldusväärsete varundustavade säilitamise tähtsust tõhusa küberjulgeolekustrateegia lahutamatu osana.

Hüpikaknana kuvatav lunarahatäht AeR on järgmine:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Kuidas saada Bitcoine
Lihtsaim viis bitcoinide ostmiseks on LocalBitcoinsi sait. Peate registreeruma, klõpsama nuppu 'Osta bitcoine' ning valima müüja makseviisi ja hinna järgi.
hxxps://localbitcoins.com/buy_bitcoins
Siit leiate ka teisi kohti Bitcoinide ostmiseks ja algajate juhendeid:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Tähelepanu!
Ärge nimetage krüptitud faile ümber.
Ärge proovige oma andmeid kolmanda osapoole tarkvara abil dekrüpteerida, see võib põhjustada püsivat andmekadu.
Teie failide dekrüpteerimine kolmandate osapoolte abiga võib põhjustada hinnatõusu (nad lisavad meile oma tasu) või võite saada pettuse ohvriks.

Ohu loodud tekstifailid sisaldavad järgmist teadet:

Kas soovite tagasi pöörduda?

kirjutage meilile aerossh@nerdmail.co või aerossh@cock.li või aerossh@proton.me'