AeR Ransomware

AeR è un programma minaccioso creato strategicamente per crittografare i file su dispositivi compromessi, richiedendo pagamenti di riscatto per la loro decrittazione. La scoperta del ransomware AeR è avvenuta durante analisi approfondite condotte da ricercatori di sicurezza informatica mentre indagavano su potenziali minacce malware.

Dopo l'attivazione all'interno dei dispositivi compromessi, AeR avvia il processo di crittografia, prendendo di mira una vasta gamma di tipi di file e modificandone i nomi di file originali. I titoli iniziali dei file subiscono una trasformazione, con l'aggiunta di un ID univoco assegnato alla vittima, dell'indirizzo email appartenente ai criminali informatici e dell'estensione '.AeR'. Per illustrare, un file originariamente etichettato come "1.doc" verrebbe trasformato in "1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR."

Dopo il processo di crittografia, AeR Ransomware genera due distinte richieste di riscatto. I file di testo denominati "info.txt" vengono posizionati strategicamente sul desktop e nelle directory interessate. Allo stesso tempo, un messaggio di richiesta di riscatto viene visualizzato in modo visibile in una finestra pop-up. È interessante notare che AeR Ransomware è classificato come parte della famiglia di minacce malware Dharma , indicando la sua associazione con uno specifico lignaggio di software minaccioso.

Il ransomware AeR prende in ostaggio i file e chiede un riscatto

Le richieste di riscatto generate da AeR Ransomware vengono consegnate in due formati diversi. Mentre il file di testo "info.txt" invita essenzialmente la vittima a mettersi in contatto con i criminali informatici responsabili dell'attacco, la finestra pop-up allegata fornisce informazioni più dettagliate sulla situazione. Nel pop-up la vittima viene informata che i suoi file sono stati crittografati.

Il messaggio di riscatto nella finestra pop-up include garanzie sulla fattibilità del recupero dei dati. Tuttavia, ciò implica che il processo di decrittazione dipende dal pagamento di un riscatto in criptovaluta Bitcoin. Inoltre, alla vittima viene offerta un'opportunità limitata di testare il processo di decrittazione per un massimo di tre file, in base a criteri specifici. Il messaggio si conclude con espliciti avvertimenti circa le conseguenze del mancato rispetto.

Il ransomware AeR è identificato come parte del gruppo malware Dharma, indicando la sua associazione con un lignaggio specifico di software dannoso. I programmi all'interno di questo gruppo mostrano la capacità di modificare o crittografare sia i file locali che quelli condivisi in rete. In particolare, Dharma Ransomware utilizza una strategia per terminare i processi collegati a file aperti, come lettori di file di testo o programmi di database. Questo approccio aiuta il ransomware a eludere le esenzioni dalla crittografia che possono verificarsi perché il contenuto viene considerato "in uso".

Alcuni dati vengono automaticamente esclusi dal processo di crittografia per prevenire potenziali problemi operativi, come i file di sistema, che, se crittografati, potrebbero rendere il dispositivo non operativo. Inoltre, i file già bloccati da altri ransomware sono esentati dalla crittografia in base a un elenco di malware predeterminato. Tuttavia, questo meccanismo non è perfetto, poiché non comprende tutti i possibili programmi di tipo ransomware, lasciando potenziali vulnerabilità nel processo di esclusione.

Le varianti del ransomware Dharma stabiliscono meccanismi di persistenza

Il software Dharma utilizza varie tecniche per garantirne la persistenza sui sistemi compromessi. Un metodo prevede la copia del malware nel percorso %LOCALAPPDATA% e la registrazione con chiavi di esecuzione specifiche, consentendo l'esecuzione automatica a ogni riavvio del sistema. Per contrastare ulteriormente gli sforzi di ripristino, il ransomware adotta l'iniziativa proattiva di eliminare le copie shadow del volume.

Oltre a queste misure di persistenza, i programmi di Dharma mostrano un livello di sofisticazione considerando la geolocalizzazione delle vittime. Questa funzionalità consente loro di personalizzare i propri attacchi, evitando le regioni con sfide economiche in cui gli utenti domestici potrebbero avere meno probabilità di permettersi il pagamento di un riscatto. Il malware può anche selezionare obiettivi in base a considerazioni geopolitiche.

Basandosi su analisi e ricerche approfondite su numerose infezioni ransomware, diventa evidente che la decrittazione senza il coinvolgimento degli aggressori è in genere una sfida insormontabile. Anche nei casi in cui le vittime scelgono di pagare il riscatto, non vi è alcuna garanzia di ricevere le chiavi o il software di decrittazione necessari. Di conseguenza, è fortemente sconsigliato cedere alle richieste di riscatto, poiché tali azioni non solo non riescono a garantire il recupero dei file ma contribuiscono anche alla perpetuazione di attività illegali.

Sebbene la rimozione di AeR Ransomware dal sistema sia fondamentale per impedire un'ulteriore crittografia dei dati, è essenziale notare che questo processo da solo non ripristinerà i file già compromessi. La soluzione principale consiste nel ripristinare i file da un backup sicuro, supponendo che ne sia disponibile uno. Ciò sottolinea l’importanza di mantenere pratiche di backup regolari e affidabili come componente integrale di un’efficace strategia di sicurezza informatica.

La richiesta di riscatto che AeR mostra come una finestra pop-up è:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.

I file di testo generati dalla minaccia contengono il seguente messaggio:

Vuoi tornare?

scrivi email aerossh@nerdmail.co o aerossh@cock.li o aerossh@proton.me'