AeR Ransomware
AeR on uhkaava ohjelma, joka on strategisesti suunniteltu salaamaan tiedostoja vaarantuneissa laitteissa ja vaatii lunnaita niiden salauksen purkamisesta. AeR-lunnasohjelmat löydettiin tietoturvatutkijoiden perusteellisissa analyyseissä, kun he tutkivat mahdollisia haittaohjelmauhkia.
Kun aktivointi vaarantuneissa laitteissa, AeR käynnistää salausprosessin, kohdistaa erilaisia tiedostotyyppejä ja muuttaa niiden alkuperäisiä tiedostonimiä. Tiedostojen alkuperäiset nimet muuttuvat, ja niihin lisätään uhrille määritetty yksilöllinen tunnus, verkkorikollisille kuuluva sähköpostiosoite ja .AeR-tunniste. Esimerkkinä voidaan mainita, että tiedosto, joka on alun perin merkitty nimellä '1.doc', muutetaan muotoon 1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.
Salausprosessin jälkeen AeR Ransomware luo kaksi erillistä lunnaita. Info.txt-nimiset tekstitiedostot on sijoitettu strategisesti työpöydälle ja hakemistoihin, joita asia koskee. Samanaikaisesti lunnaita vaativa viesti näkyy näkyvästi ponnahdusikkunassa. On huomionarvoista, että AeR Ransomware on luokiteltu osaksi Dharma- haittaohjelmauhkien perhettä, mikä osoittaa sen yhteyden tiettyyn uhkaavien ohjelmistojen linjaan.
AeR Ransomware ottaa tiedostot panttivangiksi ja vaatii lunnaita
AeR Ransomwaren luomat lunnassetelit toimitetaan kahdessa eri muodossa. Info.txt-niminen tekstitiedosto pohjimmiltaan kehottaa uhria ottamaan yhteyttä hyökkäyksestä vastuussa oleviin kyberrikollisiin, mutta mukana tuleva ponnahdusikkuna tarjoaa tarkempaa tietoa tilanteesta. Ponnahdusikkunassa uhrille ilmoitetaan, että hänen tiedostonsa on salattu.
Lunnasviesti ponnahdusikkunassa sisältää takeet siitä, että tietojen palauttaminen on mahdollista. Silti se tarkoittaa, että salauksen purkuprosessi riippuu lunnaiden maksamisesta Bitcoin-kryptovaluutoissa. Lisäksi uhrille tarjotaan rajoitettu mahdollisuus testata enintään kolmen tiedoston salauksen purkuprosessia tietyin ehdoin. Viesti päättyy nimenomaisiin varoituksiin noudattamatta jättämisen seurauksista.
AeR Ransomware tunnistetaan osaksi Dharma-haittaohjelmaryhmää, mikä osoittaa sen olevan yhteydessä tiettyyn haittaohjelmien linjaan. Tämän ryhmän ohjelmat pystyvät muokkaamaan tai salaamaan sekä paikallisia että verkon jaettuja tiedostoja. Erityisesti Dharma Ransomware käyttää strategiaa, joka lopettaa avoimiin tiedostoihin, kuten tekstitiedostojen lukuohjelmiin tai tietokantaohjelmiin, linkitetyt prosessit. Tämä lähestymistapa auttaa kiristysohjelmia välttämään salausvapautuksia, jotka voivat johtua siitä, että sisältöä pidetään "käytössä".
Tietyt tiedot suljetaan automaattisesti pois salausprosessista mahdollisten toimintaongelmien estämiseksi, kuten järjestelmätiedostot, jotka salattuna voivat tehdä laitteen toimintakyvyttömäksi. Lisäksi muiden kiristysohjelmien jo lukitsemat tiedostot on vapautettu salauksesta ennalta määritetyn haittaohjelmaluettelon perusteella. Tämä mekanismi ei kuitenkaan ole virheetön, koska se ei kata kaikkia mahdollisia kiristysohjelmatyyppisiä ohjelmia, mikä jättää mahdollisia haavoittuvuuksia poissulkemisprosessiin.
Dharma Ransomware -versiot luovat pysyvyysmekanismeja
Dharma-ohjelmisto käyttää erilaisia tekniikoita varmistaakseen sen pysyvyyden vaarantuneissa järjestelmissä. Yksi tapa sisältää haittaohjelman kopioimisen %LOCALAPPDATA% polkuun ja sen rekisteröimisen tiettyihin Run-avaimiin, mikä mahdollistaa automaattisen suorituksen jokaisen järjestelmän uudelleenkäynnistyksen yhteydessä. Estääkseen palautuspyrkimykset entisestään lunnasohjelma ottaa ennakoivan askeleen ja poistaa Shadow Volume Copies -kopiot.
Näiden sinnikkyystoimenpiteiden lisäksi dharma-ohjelmat osoittavat hienostuneisuutta ottamalla huomioon uhrien maantieteellisen sijainnin. Tämän toiminnon avulla he voivat räätälöidä hyökkäyksiään välttäen alueita, joilla on taloudellisia haasteita ja joilla kotikäyttäjillä ei ole todennäköisesti varaa lunnaisiin. Haittaohjelma voi myös valita kohteita geopoliittisten näkökohtien perusteella.
Lukuisten kiristysohjelmatartuntojen laajan analyysin ja tutkimuksen perusteella käy selväksi, että salauksen purkaminen ilman hyökkääjien osallistumista on tyypillisesti ylitsepääsemätön haaste. Jopa tapauksissa, joissa uhrit päättävät maksaa lunnaita, ei ole takeita tarvittavien salauksenpurkuavainten tai ohjelmistojen saamisesta. Tästä syystä on erittäin suositeltavaa olla antautumatta lunnaita koskeviin vaatimuksiin, koska tällaiset toimet eivät vain pysty varmistamaan tiedostojen palauttamista, vaan myös edistävät laittomien toimien jatkumista.
Vaikka AeR Ransomwaren poistaminen järjestelmästä on ratkaisevan tärkeää tietojen lisäsalauksen estämiseksi, on tärkeää huomata, että tämä prosessi ei yksinään palauta jo vaarantuneita tiedostoja. Ensisijainen ratkaisu on tiedostojen palauttaminen suojatusta varmuuskopiosta, jos sellainen on saatavilla. Tämä korostaa säännöllisten ja luotettavien varmuuskopiointikäytäntöjen ylläpitämisen tärkeyttä tehokkaan kyberturvallisuusstrategian olennaisena osana.
Lunnassetetti AeR näkyy ponnahdusikkunana:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita paikkoja ostaa Bitcoineja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolten avulla voi aiheuttaa hinnan nousun (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.Uhan luomat tekstitiedostot sisältävät seuraavan viestin:
Haluatko palata?
kirjoita sähköpostia aerossh@nerdmail.co tai aerossh@cock.li tai aerossh@proton.me'
