AeR 랜섬웨어

AeR은 손상된 장치의 파일을 암호화하고 해독에 대한 대가를 요구하도록 전략적으로 제작된 위협적인 프로그램입니다. AeR 랜섬웨어의 발견은 잠재적인 악성 코드 위협을 조사하는 동안 정보 보안 연구원들이 수행한 철저한 분석 중에 발생했습니다.

손상된 장치 내에서 활성화되면 AeR은 암호화 프로세스를 시작하여 다양한 파일 형식을 대상으로 하고 원래 파일 이름을 수정합니다. 파일의 초기 제목은 피해자에게 할당된 고유 ID, 사이버 범죄자의 이메일 주소 및 '.AeR' 확장자를 추가하여 변환됩니다. 설명을 위해 원래 '1.doc'로 라벨이 지정된 파일은 '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR'로 변환됩니다.

암호화 프로세스에 따라 AeR 랜섬웨어는 두 개의 서로 다른 랜섬노트를 생성합니다. 'info.txt'라는 텍스트 파일은 데스크톱과 영향을 받는 디렉터리 내에 전략적으로 배치됩니다. 동시에 몸값을 요구하는 메시지가 팝업 창에 눈에 띄게 표시됩니다. AeR 랜섬웨어가 Dharma 악성 코드 제품군의 일부로 분류되어 위협적인 소프트웨어의 특정 계열과 연관되어 있다는 점은 주목할 만합니다.

AeR 랜섬웨어는 파일을 인질로 잡고 몸값을 요구합니다.

AeR 랜섬웨어에 의해 생성된 랜섬노트는 두 가지 형식으로 전달됩니다. 'info.txt'라는 텍스트 파일은 본질적으로 피해자에게 공격에 책임이 있는 사이버 범죄자와 연락을 취하도록 촉구하지만, 함께 제공되는 팝업 창은 상황에 대한 보다 자세한 정보를 제공합니다. 팝업을 통해 피해자는 파일이 암호화되었음을 알립니다.

팝업 창의 랜섬 메시지에는 데이터 복구가 가능하다는 보장이 포함되어 있습니다. 그러나 이는 암호 해독 프로세스가 비트코인 암호화폐로 몸값을 지불하는 데 달려 있음을 의미합니다. 또한 피해자에게는 특정 기준에 따라 최대 3개의 파일에 대한 암호 해독 프로세스를 테스트할 수 있는 제한된 기회가 제공됩니다. 메시지는 비준수 결과에 대한 명시적인 경고로 끝납니다.

AeR 랜섬웨어는 Dharma 악성코드 그룹의 일부로 식별되어 특정 악성 소프트웨어 계열과 연관되어 있음을 나타냅니다. 이 그룹에 속하는 프로그램은 로컬 및 네트워크 공유 파일을 모두 수정하거나 암호화하는 기능을 나타냅니다. 특히 Dharma 랜섬웨어는 텍스트 파일 리더나 데이터베이스 프로그램과 같은 열린 파일과 연결된 프로세스를 종료하는 전략을 사용합니다. 이 접근 방식은 콘텐츠가 '사용 중'으로 간주되어 발생할 수 있는 암호화 면제를 랜섬웨어가 회피하는 데 도움이 됩니다.

암호화된 경우 장치가 작동하지 않게 될 수 있는 시스템 파일과 같은 잠재적인 작동 문제를 방지하기 위해 특정 데이터는 암호화 프로세스에서 자동으로 제외됩니다. 또한, 이미 다른 랜섬웨어에 의해 잠긴 파일은 미리 결정된 악성코드 목록에 따라 암호화가 면제됩니다. 그러나 이 메커니즘은 가능한 모든 랜섬웨어 유형 프로그램을 포함하지 않으므로 제외 프로세스에 잠재적인 취약점이 남아 있으므로 완벽하지는 않습니다.

Dharma 랜섬웨어 변종은 지속성 메커니즘을 구축합니다.

Dharma 소프트웨어는 손상된 시스템에서 지속성을 보장하기 위해 다양한 기술을 사용합니다. 한 가지 방법은 악성코드를 %LOCALAPPDATA% 경로에 복사하고 이를 특정 실행 키에 등록하여 시스템이 다시 시작될 때마다 자동 실행을 활성화하는 것입니다. 복구 노력을 더욱 방해하기 위해 랜섬웨어는 쉐도우 볼륨 복사본을 삭제하는 사전 조치를 취합니다.

이러한 지속성 조치 외에도 Dharma 프로그램은 피해자의 지리적 위치를 고려하여 정교함을 보여줍니다. 이 기능을 사용하면 가정 사용자가 몸값을 지불할 가능성이 낮은 경제적 어려움이 있는 지역을 피하면서 공격을 맞춤화할 수 있습니다. 악성 코드는 지정학적 고려 사항을 기반으로 대상을 선택할 수도 있습니다.

수많은 랜섬웨어 감염에 대한 광범위한 분석 및 연구를 통해 공격자의 개입 없이 암호를 해독하는 것은 일반적으로 극복할 수 없는 과제라는 것이 분명해졌습니다. 피해자가 몸값을 지불하기로 선택한 경우에도 필요한 암호 해독 키나 소프트웨어를 받을 수 있다는 보장은 없습니다. 따라서 몸값 요구에 굴복하지 않는 것이 좋습니다. 이러한 행위는 파일 복구를 보장하지 못할 뿐만 아니라 불법 활동을 영속시키는 데 도움이 되기 때문입니다.

추가 데이터 암호화를 방지하려면 시스템에서 AeR 랜섬웨어를 제거하는 것이 중요하지만, 이 프로세스만으로는 이미 손상된 파일을 복원할 수 없다는 점에 유의해야 합니다. 기본 솔루션은 안전한 백업이 있다고 가정하고 안전한 백업에서 파일을 복구하는 것입니다. 이는 효과적인 사이버 보안 전략의 필수 구성 요소로서 정기적이고 안정적인 백업 관행을 유지하는 것의 중요성을 강조합니다.

팝업 창으로 표시되는 랜섬 노트 AeR은 다음과 같습니다.

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록하고 '비트코인 구매'를 클릭한 후 결제 방법과 가격별로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 비트코인 및 초보자 가이드를 구매할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터의 암호를 해독하려고 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 귀하의 파일을 해독하면 가격이 인상되거나(제3자의 수수료가 당사에 추가됨) 귀하가 사기의 피해자가 될 수 있습니다.

위협으로 인해 생성된 텍스트 파일에는 다음 메시지가 포함되어 있습니다.

돌아가고 싶나요?

aerossh@nerdmail.co, aerossh@cock.li 또는 aerossh@proton.me로 이메일을 보내주세요.'