AeR Ransomware
AeR היא תוכנית מאיימת שנוצרה באופן אסטרטגי להצפין קבצים במכשירים שנפגעו, ודורשת תשלומי כופר עבור פענוחם. גילוי תוכנות הכופר AeR התרחש במהלך ניתוחים יסודיים שנערכו על ידי חוקרי אבטחת מידע תוך חקירת איומים פוטנציאליים של תוכנות זדוניות.
עם ההפעלה בתוך המכשירים שנפרצו, AeR יוזם את תהליך ההצפנה, מכוון למערך מגוון של סוגי קבצים ומשנה את שמות הקבצים המקוריים שלהם. הכותרות הראשוניות של הקבצים עוברות שינוי, בתוספת מזהה ייחודי שהוקצה לקורבן, כתובת המייל השייכת לפושעי הסייבר וסיומת '.AeR'. לשם המחשה, קובץ שכותרתו במקור '1.doc' יהפוך ל-'1.doc.id-9ECFA74E.[aerosh@nerdmail.co].AeR.'
לאחר תהליך ההצפנה, תוכנת הכופר של AeR מייצרת שני פתקי כופר נפרדים. קובצי טקסט בשם 'info.txt' ממוקמים באופן אסטרטגי על שולחן העבודה ובתוך הספריות המושפעות. במקביל, הודעה הדורשת כופר מוצגת בצורה בולטת בחלון מוקפץ. ראוי לציין ש-AeR Ransomware מסווגת כחלק ממשפחת ה-Dharma של איומי תוכנות זדוניות, מה שמצביע על הקשר שלה לשושלת ספציפית של תוכנות מאיימות.
תוכנת הכופר של AeR לוקחת את הקבצים כבני ערובה ודורשת כופר
פתקי הכופר שנוצרו על ידי תוכנת הכופר AeR מסופקים בשני פורמטים שונים. בעוד שקובץ הטקסט בשם 'info.txt' בעצם מפציר בקורבן ליצור קשר עם פושעי הסייבר האחראים למתקפה, החלון המוקפץ המלווה מספק מידע מפורט יותר על המצב. בחלון הקופץ מודיעים לקורבן שהקבצים שלו עברו הצפנה.
הודעת הכופר בחלון המוקפץ כוללת הבטחות ששחזור נתונים אפשרי. ובכל זאת, זה מרמז שתהליך הפענוח תלוי בתשלום כופר במטבע קריפטוגרפי של ביטקוין. בנוסף, מוצעת לקורבן הזדמנות מוגבלת לבדוק את תהליך הפענוח עבור עד שלושה קבצים, בכפוף לקריטריונים ספציפיים. ההודעה מסתיימת באזהרות מפורשות בנוגע להשלכות של אי ציות.
תוכנת הכופר של AeR מזוהה כחלק מקבוצת תוכנות זדוניות Dharma, מה שמצביע על הקשר שלה לשושלת ספציפית של תוכנות זדוניות. תוכניות בקבוצה זו מציגות את היכולת לשנות או להצפין קבצים מקומיים וקבצים משותפים ברשת. במיוחד, תוכנת הכופר של Dharma משתמשת באסטרטגיה של סיום תהליכים המקושרים לקבצים פתוחים, כגון קוראי קבצי טקסט או תוכנות מסד נתונים. גישה זו מסייעת לתוכנת הכופר להתחמק מפטורים מהצפנה שעלולים להתרחש עקב התוכן שנחשב 'בשימוש'.
נתונים מסוימים מוחרגים אוטומטית מתהליך ההצפנה כדי למנוע בעיות תפעוליות פוטנציאליות, כגון קבצי מערכת, שאם מוצפנים עלולים להפוך את המכשיר ללא תפעולי. בנוסף, קבצים שכבר ננעלו על ידי תוכנות כופר אחרות פטורים מהצפנה על סמך רשימת תוכנות זדוניות קבועה מראש. עם זאת, מנגנון זה אינו מושלם, מכיוון שהוא אינו מקיף את כל התוכנות האפשריות מסוג תוכנות כופר, מה שמותיר פגיעויות פוטנציאליות בתהליך ההרחקה.
גרסאות Dharma Ransomware מקימות מנגנוני התמדה
תוכנת Dharma משתמשת בטכניקות שונות כדי להבטיח את התמדה שלה במערכות שנפגעו. שיטה אחת כוללת העתקת התוכנה הזדונית לנתיב %LOCALAPPDATA% ורישום שלו עם מפתחות הפעלה ספציפיים, מה שמאפשר ביצוע אוטומטי בכל הפעלה מחדש של המערכת. כדי לסכל עוד יותר את מאמצי השחזור, תוכנת הכופר נוקטת בצעד יזום של מחיקת עותקי ה-Shadow Volume.
בנוסף לאמצעי ההתמדה הללו, תוכניות הדהרמה מפגינות רמה של תחכום על ידי התחשבות במיקום הגיאוגרפי של הקורבנות. פונקציונליות זו מאפשרת להם להתאים את ההתקפות שלהם, ולהימנע מאזורים עם אתגרים כלכליים שבהם משתמשים ביתיים עשויים להיות בעלי סיכוי נמוך יותר להרשות לעצמם תשלומי כופר. התוכנה הזדונית יכולה גם לבחור יעדים על סמך שיקולים גיאופוליטיים.
בהסתמך על ניתוח ומחקר נרחבים של זיהומים רבים של תוכנות כופר, מתברר כי פענוח ללא מעורבות התוקפים הוא בדרך כלל אתגר בלתי עביר. גם במקרים שבהם הקורבנות בוחרים לשלם את הכופר, אין ערובה לקבלת מפתחות הפענוח או התוכנה הדרושים. כתוצאה מכך, מומלץ מאוד לא להיכנע לדרישות כופר, שכן פעולות כאלה לא רק שאינן מצליחות להבטיח שחזור קבצים אלא גם תורמות להנצחת פעילויות בלתי חוקיות.
בעוד שהסרת AeR Ransomware מהמערכת היא חיונית כדי למנוע הצפנת נתונים נוספת, חשוב לציין שתהליך זה לבדו לא ישחזר קבצים שכבר נפגעו. הפתרון העיקרי טמון בשחזור קבצים מגיבוי מאובטח, בהנחה שקיים כזה. זה מדגיש את החשיבות של שמירה על נוהלי גיבוי קבועים ואמינים כמרכיב אינטגרלי של אסטרטגיית אבטחת סייבר יעילה.
הערת הכופר ש-AeR מציגה כחלון מוקפץ היא:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)איך להשיג ביטקוין
הדרך הקלה ביותר לקנות ביטקוינים היא אתר LocalBitcoins. יש להירשם, ללחוץ על 'קנה ביטקוינים' ולבחור את המוכר לפי אמצעי תשלום ומחיר.
hxxps://localbitcoins.com/buy_bitcoins
כמו כן, אתה יכול למצוא מקומות אחרים לקנות ביטקוין ומדריך למתחילים כאן:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/תשומת הלב!
אל תשנה את שמם של קבצים מוצפנים.
אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.
פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר (הם מוסיפים את העמלה שלהם לשלנו) או שאתה יכול להפוך לקורבן של הונאה.קבצי הטקסט שנוצרו על ידי האיום מכילים את ההודעה הבאה:
אתה רוצה לחזור?
כתוב דוא"ל aerosh@nerdmail.co או aerossh@cock.li או aerossh@proton.me'
