AeR Ransomware

Az AeR egy fenyegető program, amelyet stratégiailag úgy alakítottak ki, hogy titkosítsa a feltört eszközökön lévő fájlokat, és váltságdíjat követel a visszafejtésükért. Az AeR ransomware felfedezésére az információbiztonsági kutatók által végzett alapos elemzések során került sor, miközben a potenciális rosszindulatú programokat vizsgálták.

A feltört eszközökön belüli aktiváláskor az AeR elindítja a titkosítási folyamatot, megcélozva a fájltípusok változatos tömbjét, és módosítva azok eredeti fájlneveit. A fájlok kezdeti címei átalakulnak, hozzáadva az áldozathoz rendelt egyedi azonosítót, a kiberbűnözők e-mail címét és az „.AeR” kiterjesztést. Szemléltetésképpen az eredetileg „1.doc” címkével ellátott fájl „1.doc.id-9ECFA74E[aerossh@nerdmail.co].AeR” formátumúvá alakul át.

A titkosítási folyamatot követően az AeR Ransomware két különálló váltságdíjat generál. Az „info.txt” nevű szövegfájlok stratégiailag az asztalon és az érintett könyvtárakban helyezkednek el. Ezzel egyidejűleg egy váltságdíjat követelő üzenet jól láthatóan megjelenik egy felugró ablakban. Figyelemre méltó, hogy az AeR Ransomware a Dharma kártevő-fenyegetések családjába tartozik, jelezve, hogy a fenyegető szoftverek egy meghatározott vonalához kapcsolódik.

Az AeR Ransomware túszul ejti a fájlokat, és váltságdíjat követel

Az AeR Ransomware által generált váltságdíjat két különböző formátumban szállítjuk. Míg az „info.txt” nevű szöveges fájl lényegében arra kéri az áldozatot, hogy vegye fel a kapcsolatot a támadásért felelős számítógépes bûnözõkkel, a hozzá tartozó felugró ablak részletesebb információkat nyújt a helyzetrõl. Az előugró ablakban az áldozat tájékoztatást kap arról, hogy fájljait titkosították.

A felugró ablakban megjelenő váltságdíj-üzenet biztosítékokat tartalmaz arra vonatkozóan, hogy az adatok helyreállítása megvalósítható. Ennek ellenére ez azt jelenti, hogy a visszafejtési folyamat a váltságdíj Bitcoin kriptovalutában történő kifizetésétől függ. Ezen túlmenően az áldozat korlátozott lehetőséget kínál a visszafejtési folyamat tesztelésére legfeljebb három fájl esetében, meghatározott kritériumok függvényében. Az üzenetet a meg nem felelés következményeire vonatkozó kifejezett figyelmeztetések zárják.

Az AeR Ransomware a Dharma rosszindulatú programcsoport részeként azonosítható, jelezve, hogy a rosszindulatú szoftverek egy meghatározott vonalához kapcsolódik. Az ebbe a csoportba tartozó programok mind a helyi, mind a hálózaton megosztott fájlok módosítására vagy titkosítására képesek. Nevezetesen, a Dharma Ransomware olyan stratégiát alkalmaz, amely leállítja a nyitott fájlokhoz kapcsolódó folyamatokat, például szöveges fájlolvasókat vagy adatbázis-programokat. Ez a megközelítés segít a ransomware-nek elkerülni a titkosítás alóli mentességeket, amelyek akkor fordulhatnak elő, ha a tartalom „használatban lévőnek” minősül.

Bizonyos adatokat a rendszer automatikusan kizár a titkosítási folyamatból, hogy megelőzze az esetleges működési problémákat, például a rendszerfájlokat, amelyek titkosítása esetén az eszköz működésképtelenné válhat. Ezenkívül a más ransomware által már zárolt fájlok mentesülnek a titkosítás alól egy előre meghatározott rosszindulatú programok listája alapján. Ez a mechanizmus azonban nem hibátlan, mivel nem öleli fel az összes lehetséges ransomware típusú programot, így potenciális sérülékenységek maradnak a kizárási folyamatban.

A Dharma Ransomware-változatok tartóssági mechanizmusokat hoznak létre

A Dharma szoftver különféle technikákat alkalmaz, hogy biztosítsa a fennmaradását a veszélyeztetett rendszereken. Az egyik módszer a rosszindulatú program átmásolása a %LOCALAPPDATA% elérési útra, és meghatározott Futtatási kulcsokkal való regisztrálása, lehetővé téve az automatikus végrehajtást a rendszer minden újraindításakor. A helyreállítási erőfeszítések további meghiúsítása érdekében a zsarolóprogram proaktív lépésként törli a Shadow Volume Copies-t.

Ezeken a kitartási intézkedéseken túlmenően a Dharma programok bizonyos szintű kifinomultságot mutatnak, figyelembe véve az áldozatok földrajzi elhelyezkedését. Ez a funkció lehetővé teszi számukra, hogy személyre szabják támadásaikat, elkerülve azokat a gazdasági kihívásokkal küzdő régiókat, ahol az otthoni felhasználók kevésbé engedhetik meg maguknak a váltságdíjat. A kártevő geopolitikai megfontolások alapján is kiválaszthat célokat.

Számos ransomware fertőzés kiterjedt elemzése és kutatása alapján nyilvánvalóvá válik, hogy a visszafejtés a támadók bevonása nélkül általában leküzdhetetlen kihívás. Még azokban az esetekben sem, amikor az áldozatok úgy döntenek, hogy fizetik a váltságdíjat, nincs garancia arra, hogy megkapják a szükséges visszafejtő kulcsokat vagy szoftvereket. Emiatt erősen nem ajánlatos engedni a váltságdíj követeléseinek, mivel az ilyen intézkedések nemcsak nem biztosítják a fájlok helyreállítását, hanem hozzájárulnak az illegális tevékenységek fennmaradásához is.

Bár az AeR Ransomware eltávolítása a rendszerből kulcsfontosságú a további adattitkosítás megelőzése érdekében, fontos megjegyezni, hogy ez a folyamat önmagában nem fogja visszaállítani a már feltört fájlokat. Az elsődleges megoldás a fájlok helyreállítása egy biztonságos biztonsági másolatból, feltéve, hogy van ilyen. Ez aláhúzza a rendszeres és megbízható biztonsági mentési gyakorlat fenntartásának fontosságát, amely a hatékony kiberbiztonsági stratégia szerves része.

Az AeR váltságdíj felugró ablaka a következő:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hogyan szerezzünk Bitcoint
A bitcoinok vásárlásának legegyszerűbb módja a LocalBitcoins webhely. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik fél segítségével történő visszafejtése áremelkedést okozhat (ők hozzáteszik a mi díjukat a miénkhez), vagy átverés áldozatává válhat.

A fenyegetés által generált szövegfájlok a következő üzenetet tartalmazzák:

Vissza akarsz térni?

írjon e-mailt aerossh@nerdmail.co vagy aerossh@cock.li vagy aerossh@proton.me'