AeR Ransomware
AeR je prijeteći program strateški osmišljen za šifriranje datoteka na kompromitiranim uređajima, zahtijevajući plaćanje otkupnine za njihovo dešifriranje. Otkriće AeR ransomwarea dogodilo se tijekom temeljitih analiza koje su proveli istraživači informacijske sigurnosti dok su istraživali potencijalne prijetnje zlonamjernim softverom.
Nakon aktivacije unutar kompromitiranih uređaja, AeR pokreće proces enkripcije, ciljajući različite vrste datoteka i mijenjajući njihove izvorne nazive datoteka. Početni naslovi datoteka prolaze kroz transformaciju, uz dodatak jedinstvenog ID-a dodijeljenog žrtvi, adrese e-pošte koja pripada cyber kriminalcima i ekstenzije '.AeR'. Ilustracije radi, datoteka izvorno označena kao '1.doc' bila bi transformirana u '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'
Nakon procesa enkripcije, AeR Ransomware generira dvije različite poruke o otkupnini. Tekstualne datoteke pod nazivom 'info.txt' strateški su smještene na radnoj površini i unutar pogođenih direktorija. Istovremeno, poruka sa zahtjevom za otkupninom vidljivo je prikazana u skočnom prozoru. Važno je napomenuti da je AeR Ransomware klasificiran kao dio Dharma obitelji prijetnji od zlonamjernog softvera, što ukazuje na njegovu povezanost s određenom linijom prijetećeg softvera.
AeR Ransomware uzima datoteke kao taoce i traži otkupninu
Bilješke o otkupnini koje generira AeR Ransomware isporučuju se u dva različita formata. Dok tekstualna datoteka pod nazivom 'info.txt' u biti potiče žrtvu da uspostavi kontakt s kibernetičkim kriminalcima odgovornim za napad, popratni skočni prozor pruža detaljnije informacije o situaciji. U skočnom prozoru žrtva je obaviještena da su njihove datoteke šifrirane.
Poruka o otkupnini u skočnom prozoru uključuje jamstva da je oporavak podataka izvediv. Ipak, to implicira da proces dešifriranja ovisi o plaćanju otkupnine u kriptovaluti Bitcoin. Dodatno, žrtvi se nudi ograničena mogućnost testiranja procesa dešifriranja za najviše tri datoteke, podložno određenim kriterijima. Poruka završava izričitim upozorenjima o posljedicama nepridržavanja.
AeR Ransomware identificiran je kao dio grupe zlonamjernog softvera Dharma, što ukazuje na njegovu povezanost s određenom linijom zlonamjernog softvera. Programi unutar ove skupine pokazuju sposobnost izmjene ili šifriranja i lokalnih i mrežnih datoteka. Naime, Dharma Ransomware koristi strategiju prekidanja procesa povezanih s otvorenim datotekama, kao što su čitači tekstualnih datoteka ili programi baza podataka. Ovaj pristup pomaže ransomwareu da izbjegne izuzeća od enkripcije do kojih može doći zbog sadržaja koji se smatra "u upotrebi".
Određeni podaci automatski se isključuju iz procesa enkripcije kako bi se spriječili potencijalni operativni problemi, poput sistemskih datoteka, koje bi, ako su šifrirane, mogle učiniti uređaj nefunkcionalnim. Osim toga, datoteke koje su već zaključane drugim ransomwareom izuzete su od enkripcije na temelju unaprijed određenog popisa zlonamjernog softvera. Međutim, ovaj mehanizam nije besprijekoran jer ne obuhvaća sve moguće programe tipa ransomwarea, ostavljajući potencijalne ranjivosti u postupku isključivanja.
Varijante Dharma Ransomwarea uspostavljaju mehanizme postojanosti
Softver Dharma koristi različite tehnike kako bi osigurao postojanost na kompromitiranim sustavima. Jedna metoda uključuje kopiranje zlonamjernog softvera na stazu %LOCALAPPDATA% i njegovo registriranje određenim ključevima Run, omogućavajući automatsko izvršavanje nakon svakog ponovnog pokretanja sustava. Kako bi dodatno osujetio napore oporavka, ransomware poduzima proaktivan korak brisanja kopija u sjeni.
Uz ove mjere upornosti, Dharma programi pokazuju razinu sofisticiranosti uzimajući u obzir geolokaciju žrtava. Ova im funkcionalnost omogućuje da prilagode svoje napade, izbjegavajući regije s ekonomskim izazovima u kojima je manja vjerojatnost da će kućni korisnici priuštiti plaćanje otkupnine. Zlonamjerni softver također može odabrati ciljeve na temelju geopolitičkih razmatranja.
Oslanjajući se na opsežnu analizu i istraživanje brojnih ransomware infekcija, postaje očito da je dešifriranje bez uključivanja napadača obično nepremostiv izazov. Čak i u slučajevima kada žrtve odluče platiti otkupninu, ne postoji jamstvo da će dobiti potrebne ključeve za dešifriranje ili softver. Kao rezultat toga, strogo se savjetuje da ne podlegnete zahtjevima za otkupninom, jer takve radnje ne samo da ne osiguravaju oporavak datoteka, već također doprinose održavanju nezakonitih aktivnosti.
Iako je uklanjanje AeR Ransomwarea iz sustava ključno za sprječavanje daljnje enkripcije podataka, bitno je napomenuti da sam ovaj postupak neće vratiti datoteke koje su već ugrožene. Primarno rješenje leži u oporavku datoteka iz sigurne sigurnosne kopije, pod pretpostavkom da je takva dostupna. Ovo naglašava važnost održavanja redovite i pouzdane prakse sigurnosnog kopiranja kao sastavne komponente učinkovite strategije kibernetičke sigurnosti.
Obavijest o otkupnini koju AeR prikazuje kao skočni prozor je:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kako doći do Bitcoina
Najlakši način za kupnju bitcoina je stranica LocalBitcoins. Potrebno je registrirati se, kliknuti 'Kupi bitcoine', te odabrati prodavatelja po načinu plaćanja i cijeni.
hxxps://localbitcoins.com/buy_bitcoins
Također možete pronaći druga mjesta za kupnju Bitcoina i vodič za početnike ovdje:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Pažnja!
Nemojte preimenovati šifrirane datoteke.
Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka.
Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni dodaju svoju naknadu našoj) ili možete postati žrtva prijevare.Tekstualne datoteke koje je generirala prijetnja sadrže sljedeću poruku:
Želite li se vratiti?
napišite e-mail aerossh@nerdmail.co ili aerossh@cock.li ili aerossh@proton.me'
