AeR Ransomware
AeR یک برنامه تهدیدآمیز است که به صورت استراتژیک برای رمزگذاری فایلها در دستگاههای در معرض خطر ساخته شده است و برای رمزگشایی آنها باج میخواهد. کشف باجافزار AeR در خلال تحلیلهای کامل انجام شده توسط محققان امنیت اطلاعات در حین بررسی تهدیدات بالقوه بدافزار رخ داد.
پس از فعالسازی در دستگاههای در معرض خطر، AeR فرآیند رمزگذاری را آغاز میکند و مجموعهای از انواع فایلها را هدف قرار میدهد و نام فایل اصلی آنها را تغییر میدهد. عناوین اولیه فایل ها با افزودن یک شناسه منحصر به فرد اختصاص داده شده به قربانی، آدرس ایمیل متعلق به مجرمان سایبری و پسوند ".AeR" دچار تغییر و تحول می شوند. برای نشان دادن، فایلی که در ابتدا با عنوان "1.doc" برچسب گذاری شده بود، به "1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR تبدیل می شود."
پس از فرآیند رمزگذاری، باجافزار AeR دو یادداشت باجگیری مجزا تولید میکند. فایل های متنی با نام "info.txt" به صورت استراتژیک روی دسکتاپ و در دایرکتوری های آسیب دیده قرار می گیرند. به طور همزمان، یک پیام باج خواهی به طور برجسته در یک پنجره بازشو نمایش داده می شود. قابل توجه است که باجافزار AeR بهعنوان بخشی از خانواده تهدیدات بدافزار Dharma طبقهبندی میشود که نشاندهنده ارتباط آن با نسل خاصی از نرمافزارهای تهدیدکننده است.
باج افزار AeR فایل ها را گروگان می گیرد و باج می خواهد
یادداشت های باج تولید شده توسط باج افزار AeR در دو قالب مختلف ارائه می شود. در حالی که فایل متنی با نام 'info.txt' اساساً قربانی را ترغیب می کند تا با مجرمان سایبری مسئول حمله ارتباط برقرار کند، پنجره پاپ آپ همراه اطلاعات دقیق تری در مورد وضعیت ارائه می دهد. در پاپ آپ به قربانی اطلاع داده می شود که فایل هایش رمزگذاری شده است.
پیام باج در پنجره پاپ آپ شامل تضمین هایی است که بازیابی داده ها امکان پذیر است. با این حال، این نشان می دهد که فرآیند رمزگشایی به پرداخت باج در ارز دیجیتال بیت کوین بستگی دارد. علاوه بر این، به قربانی فرصت محدودی برای آزمایش فرآیند رمزگشایی حداکثر تا سه فایل، مشروط به معیارهای خاص، ارائه میشود. این پیام با هشدارهای صریح در مورد عواقب عدم رعایت به پایان می رسد.
باجافزار AeR بهعنوان بخشی از گروه بدافزار Dharma شناسایی میشود که نشاندهنده ارتباط آن با نسل خاصی از نرمافزارهای مخرب است. برنامههای این گروه قابلیت تغییر یا رمزگذاری فایلهای محلی و اشتراکگذاری شده در شبکه را دارند. نکته قابل توجه، باجافزار Dharma از استراتژی خاتمه دادن به فرآیندهای مرتبط با فایلهای باز، مانند خوانندههای فایل متنی یا برنامههای پایگاه داده استفاده میکند. این رویکرد به باجافزار کمک میکند تا از معافیتهای رمزگذاری که ممکن است به دلیل محتوای «در حال استفاده» در نظر گرفته شود، فرار کند.
برخی از دادهها بهطور خودکار از فرآیند رمزگذاری حذف میشوند تا از مشکلات عملیاتی احتمالی جلوگیری شود، مانند فایلهای سیستم، که اگر رمزگذاری شوند، میتوانند دستگاه را غیرفعال کنند. علاوه بر این، فایلهایی که قبلاً توسط سایر باجافزارها قفل شدهاند، بر اساس فهرست بدافزار از پیش تعیینشده، از رمزگذاری معاف هستند. با این حال، این مکانیسم بی عیب نیست، زیرا همه برنامههای باجافزاری ممکن را در بر نمیگیرد و آسیبپذیریهای احتمالی را در فرآیند حذف باقی میگذارد.
انواع باج افزار Dharma مکانیسم های پایداری را ایجاد می کند
نرم افزار دارما از تکنیک های مختلفی برای اطمینان از ماندگاری خود در سیستم های در معرض خطر استفاده می کند. یک روش شامل کپی کردن بدافزار در مسیر %LOCALAPPDATA% و ثبت آن با کلیدهای Run خاص است که امکان اجرای خودکار پس از شروع مجدد هر سیستم را فراهم می کند. برای خنثی کردن بیشتر تلاشهای بازیابی، باجافزار اقدامی پیشگیرانه برای حذف کپیهای حجم سایه انجام میدهد.
علاوه بر این اقدامات پایدار، برنامه های دارما با در نظر گرفتن موقعیت جغرافیایی قربانیان، سطحی از پیچیدگی را نشان می دهند. این قابلیت به آنها اجازه میدهد تا حملات خود را تنظیم کنند و از مناطقی با چالشهای اقتصادی که در آن کاربران خانگی ممکن است کمتر امکان پرداخت باج را داشته باشند، اجتناب کنند. این بدافزار همچنین می تواند اهداف را بر اساس ملاحظات ژئوپلیتیکی انتخاب کند.
با تکیه بر تجزیه و تحلیل و تحقیقات گسترده در مورد عفونتهای باجافزار متعدد، آشکار میشود که رمزگشایی بدون دخالت مهاجمان معمولاً یک چالش غیرقابل حل است. حتی در مواردی که قربانیان تصمیم به پرداخت باج بگیرند، هیچ تضمینی برای دریافت کلیدهای رمزگشایی یا نرم افزار لازم وجود ندارد. در نتیجه، اکیداً توصیه میشود که در برابر باجخواهیها تسلیم نشوید، زیرا چنین اقداماتی نه تنها بازیابی پرونده را تضمین نمیکند، بلکه به تداوم فعالیتهای غیرقانونی نیز کمک میکند.
در حالی که حذف باجافزار AeR از سیستم برای جلوگیری از رمزگذاری بیشتر دادهها بسیار مهم است، توجه به این نکته ضروری است که این فرآیند به تنهایی فایلهایی را که قبلاً به خطر افتاده بازیابی نمیکند. راه حل اصلی در بازیابی فایل ها از یک نسخه پشتیبان امن است، با فرض اینکه یک نسخه پشتیبان در دسترس باشد. این امر بر اهمیت حفظ شیوه های پشتیبان گیری منظم و قابل اعتماد به عنوان یک جزء جدایی ناپذیر از یک استراتژی موثر امنیت سایبری تاکید می کند.
یادداشت باج AeR به عنوان یک پنجره بازشو نشان می دهد:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)نحوه بدست آوردن بیت کوین
ساده ترین راه برای خرید بیت کوین سایت LocalBitcoins است. شما باید ثبت نام کنید، روی «خرید بیت کوین» کلیک کنید و فروشنده را بر اساس روش پرداخت و قیمت انتخاب کنید.
hxxps://localbitcoins.com/buy_bitcoins
همچنین می توانید مکان های دیگری برای خرید بیت کوین و راهنمای مبتدیان را در اینجا بیابید:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید.فایل های متنی ایجاد شده توسط تهدید حاوی پیام زیر است:
میخوای برگردی؟
ایمیل aerossh@nerdmail.co یا aerossh@cock.li یا aerossh@proton.me را بنویسید
