AeR Ransomware

एईआर एक धमकी भरा कार्यक्रम है जिसे रणनीतिक रूप से समझौता किए गए उपकरणों पर फ़ाइलों को एन्क्रिप्ट करने के लिए तैयार किया गया है, जो उनके डिक्रिप्शन के लिए फिरौती के भुगतान की मांग करता है। एईआर रैंसमवेयर की खोज संभावित मैलवेयर खतरों की जांच के दौरान सूचना सुरक्षा शोधकर्ताओं द्वारा किए गए गहन विश्लेषण के दौरान हुई।

समझौता किए गए उपकरणों के भीतर सक्रिय होने पर, एईआर एन्क्रिप्शन प्रक्रिया शुरू करता है, विभिन्न फ़ाइल प्रकारों को लक्षित करता है और उनके मूल फ़ाइल नामों को संशोधित करता है। फ़ाइलों के प्रारंभिक शीर्षकों में परिवर्तन होता है, जिसमें पीड़ित को सौंपी गई एक विशिष्ट आईडी, साइबर अपराधियों से संबंधित ईमेल पता और '.AeR' एक्सटेंशन शामिल होता है। उदाहरण के लिए, मूल रूप से '1.doc' लेबल वाली फ़ाइल '1.doc.id-9ECFA74E.[aerosh@nerdmail.co].AeR' में बदल जाएगी।

एन्क्रिप्शन प्रक्रिया के बाद, एईआर रैनसमवेयर दो अलग-अलग फिरौती नोट उत्पन्न करता है। 'info.txt' नाम की टेक्स्ट फ़ाइलें रणनीतिक रूप से डेस्कटॉप पर और प्रभावित निर्देशिकाओं में रखी जाती हैं। इसके साथ ही, एक पॉप-अप विंडो में फिरौती मांगने वाला संदेश प्रमुखता से प्रदर्शित होता है। यह उल्लेखनीय है कि एईआर रैनसमवेयर को मैलवेयर खतरों के Dharma परिवार के हिस्से के रूप में वर्गीकृत किया गया है, जो धमकी देने वाले सॉफ़्टवेयर की एक विशिष्ट वंशावली के साथ इसके जुड़ाव का संकेत देता है।

AeR Ransomware फाइलों को बंधक बना लेता है और फिरौती की मांग करता है

एईआर रैनसमवेयर द्वारा उत्पन्न फिरौती नोट दो अलग-अलग प्रारूपों में वितरित किए जाते हैं। जबकि 'info.txt' नाम की टेक्स्ट फ़ाइल अनिवार्य रूप से पीड़ित को हमले के लिए जिम्मेदार साइबर अपराधियों के साथ संपर्क स्थापित करने का आग्रह करती है, साथ में आने वाली पॉप-अप विंडो स्थिति के बारे में अधिक विस्तृत जानकारी प्रदान करती है। पॉप-अप में, पीड़ित को सूचित किया जाता है कि उनकी फ़ाइलें एन्क्रिप्शन से गुजर चुकी हैं।

पॉप-अप विंडो में फिरौती संदेश में यह आश्वासन शामिल है कि डेटा पुनर्प्राप्ति संभव है। फिर भी, इसका तात्पर्य यह है कि डिक्रिप्शन प्रक्रिया बिटकॉइन क्रिप्टोकरेंसी में फिरौती के भुगतान पर निर्भर करती है। इसके अतिरिक्त, पीड़ित को विशिष्ट मानदंडों के अधीन, अधिकतम तीन फ़ाइलों के लिए डिक्रिप्शन प्रक्रिया का परीक्षण करने का एक सीमित अवसर प्रदान किया जाता है। संदेश गैर-अनुपालन के परिणामों के संबंध में स्पष्ट चेतावनियों के साथ समाप्त होता है।

एईआर रैनसमवेयर को धर्मा मैलवेयर समूह के हिस्से के रूप में पहचाना गया है, जो दुर्भावनापूर्ण सॉफ़्टवेयर के एक विशिष्ट वंश के साथ इसके जुड़ाव का संकेत देता है। इस समूह के प्रोग्राम स्थानीय और नेटवर्क-साझा फ़ाइलों दोनों को संशोधित या एन्क्रिप्ट करने की क्षमता प्रदर्शित करते हैं। विशेष रूप से, धर्मा रैनसमवेयर टेक्स्ट फ़ाइल रीडर या डेटाबेस प्रोग्राम जैसी खुली फ़ाइलों से जुड़ी प्रक्रियाओं को समाप्त करने की रणनीति अपनाता है। यह दृष्टिकोण रैंसमवेयर को एन्क्रिप्शन से छूट से बचने में मदद करता है जो 'उपयोग में' मानी जाने वाली सामग्री के कारण हो सकता है।

संभावित परिचालन समस्याओं को रोकने के लिए कुछ डेटा को स्वचालित रूप से एन्क्रिप्शन प्रक्रिया से बाहर रखा जाता है, जैसे कि सिस्टम फ़ाइलें, जो एन्क्रिप्ट होने पर डिवाइस को गैर-ऑपरेशनल बना सकती हैं। इसके अतिरिक्त, अन्य रैंसमवेयर द्वारा पहले से ही लॉक की गई फ़ाइलों को पूर्व निर्धारित मैलवेयर सूची के आधार पर एन्क्रिप्शन से छूट दी गई है। हालाँकि, यह तंत्र दोषरहित नहीं है, क्योंकि यह सभी संभावित रैंसमवेयर-प्रकार के कार्यक्रमों को शामिल नहीं करता है, जिससे बहिष्करण प्रक्रिया में संभावित कमजोरियाँ रह जाती हैं।

धर्म रैनसमवेयर वेरिएंट दृढ़ता तंत्र स्थापित करते हैं

धर्मा सॉफ़्टवेयर समझौता किए गए सिस्टम पर अपनी दृढ़ता सुनिश्चित करने के लिए विभिन्न तकनीकों का उपयोग करता है। एक विधि में मैलवेयर को %LOCALAPPDATA% पथ पर कॉपी करना और इसे विशिष्ट रन कुंजियों के साथ पंजीकृत करना, प्रत्येक सिस्टम पुनरारंभ पर स्वचालित निष्पादन को सक्षम करना शामिल है। पुनर्प्राप्ति प्रयासों को और अधिक विफल करने के लिए, रैंसमवेयर शैडो वॉल्यूम प्रतियों को हटाने का सक्रिय कदम उठाता है।

इन दृढ़ता उपायों के अलावा, धर्म कार्यक्रम पीड़ितों के भौगोलिक स्थान पर विचार करके परिष्कार के स्तर का प्रदर्शन करते हैं। यह कार्यक्षमता उन्हें आर्थिक चुनौतियों वाले क्षेत्रों से बचते हुए अपने हमलों को अनुकूलित करने की अनुमति देती है, जहां घरेलू उपयोगकर्ताओं के लिए फिरौती का भुगतान करने की संभावना कम हो सकती है। मैलवेयर भू-राजनीतिक विचारों के आधार पर भी लक्ष्य चुन सकता है।

कई रैंसमवेयर संक्रमणों के व्यापक विश्लेषण और अनुसंधान के आधार पर, यह स्पष्ट हो जाता है कि हमलावरों की भागीदारी के बिना डिक्रिप्शन आम तौर पर एक दुर्गम चुनौती है। यहां तक कि ऐसे मामलों में जहां पीड़ित फिरौती का भुगतान करने का विकल्प चुनते हैं, आवश्यक डिक्रिप्शन कुंजी या सॉफ़्टवेयर प्राप्त करने की कोई गारंटी नहीं है। नतीजतन, फिरौती की मांग के आगे झुकने के खिलाफ दृढ़ता से सलाह दी जाती है, क्योंकि इस तरह की कार्रवाइयां न केवल फ़ाइल पुनर्प्राप्ति सुनिश्चित करने में विफल होती हैं बल्कि अवैध गतिविधियों को बनाए रखने में भी योगदान देती हैं।

जबकि आगे डेटा एन्क्रिप्शन को रोकने के लिए सिस्टम से एईआर रैनसमवेयर को हटाना महत्वपूर्ण है, यह ध्यान रखना आवश्यक है कि यह प्रक्रिया अकेले पहले से ही समझौता की गई फ़ाइलों को पुनर्स्थापित नहीं करेगी। प्राथमिक समाधान एक सुरक्षित बैकअप से फ़ाइलों को पुनर्प्राप्त करने में निहित है, यह मानते हुए कि एक उपलब्ध है। यह एक प्रभावी साइबर सुरक्षा रणनीति के अभिन्न अंग के रूप में नियमित और विश्वसनीय बैकअप प्रथाओं को बनाए रखने के महत्व को रेखांकित करता है।

फिरौती नोट AeR एक पॉप-अप विंडो के रूप में दिखाता है:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

बिटकॉइन कैसे प्राप्त करें
बिटकॉइन खरीदने का सबसे आसान तरीका LocalBitcoins साइट है। आपको पंजीकरण करना होगा, 'बिटकॉइन खरीदें' पर क्लिक करना होगा, और भुगतान विधि और कीमत के आधार पर विक्रेता का चयन करना होगा।
hxxps://localbitcoins.com/buy_bitcoins
इसके अलावा आप बिटकॉइन खरीदने के लिए अन्य स्थान और शुरुआती गाइड यहां पा सकते हैं:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

ध्यान!
एन्क्रिप्टेड फ़ाइलों का नाम न बदलें.
तीसरे पक्ष के सॉफ़्टवेयर का उपयोग करके अपने डेटा को डिक्रिप्ट करने का प्रयास न करें, इससे स्थायी डेटा हानि हो सकती है।
तीसरे पक्ष की मदद से आपकी फ़ाइलों को डिक्रिप्ट करने से कीमत बढ़ सकती है (वे अपना शुल्क हमारे साथ जोड़ते हैं) या आप किसी घोटाले का शिकार हो सकते हैं।

खतरे से उत्पन्न पाठ फ़ाइलों में निम्नलिखित संदेश है:

आप वापस लौटना चाहते हैं?

ईमेल लिखें aerossh@nerdmail.co या aerossh@cock.li या aerossh@proton.me'