AeR Ransomware
AeR yra grėsminga programa, strategiškai sukurta šifruoti failus pažeistuose įrenginiuose ir reikalaujanti išpirkos už jų iššifravimą. AeR išpirkos reikalaujanti programinė įranga buvo aptikta išsamiai analizuojant informacijos saugumo tyrėjus, tiriant galimas kenkėjiškų programų grėsmes.
Suaktyvinus pažeistuose įrenginiuose, AeR pradeda šifravimo procesą, taikydama įvairius failų tipus ir pakeisdama jų pradinius failų pavadinimus. Pradiniai failų pavadinimai keičiami, pridedant unikalų aukai priskirtą ID, elektroninio pašto adresą, priklausantį kibernetiniams nusikaltėliams, ir plėtinį „.AeR“. Pavyzdžiui, failas, iš pradžių pažymėtas kaip „1.doc“, būtų paverstas „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR“.
Po šifravimo proceso „AeR Ransomware“ generuoja du skirtingus išpirkos raštelius. Tekstiniai failai, pavadinti „info.txt“, yra strategiškai išdėstyti darbalaukyje ir paveiktuose kataloguose. Tuo pačiu metu iššokančiame lange aiškiai rodomas išpirkos reikalaujantis pranešimas. Pažymėtina, kad „AeR Ransomware“ yra priskiriama kenkėjiškų programų grėsmių „Dharma“ šeimai, nurodant jos ryšį su konkrečia grėsmingos programinės įrangos linija.
AeR Ransomware paima failus įkaitais ir reikalauja išpirkos
„AeR Ransomware“ sugeneruoti išpirkos banknotai pristatomi dviem skirtingais formatais. Nors tekstiniame faile, pavadintame „info.txt“, auka iš esmės raginama užmegzti ryšį su kibernetiniais nusikaltėliais, atsakingais už ataką, pridedamame iššokančiame lange pateikiama išsamesnė informacija apie situaciją. Iššokančiajame lange auka informuojama, kad jų failai buvo užšifruoti.
Išpirkos pranešimas iššokančiame lange apima patikinimą, kad duomenų atkūrimas yra įmanomas. Vis dėlto tai reiškia, kad iššifravimo procesas priklauso nuo išpirkos sumokėjimo Bitcoin kriptovaliuta. Be to, aukai siūloma ribota galimybė išbandyti iki trijų failų iššifravimo procesą, atsižvelgiant į konkrečius kriterijus. Pranešimas baigiamas aiškiais įspėjimais dėl neatitikties pasekmių.
„AeR Ransomware“ yra identifikuojama kaip „Dharma“ kenkėjiškų programų grupės dalis, nurodant jos ryšį su tam tikra kenkėjiškos programinės įrangos linija. Šios grupės programos turi galimybę keisti arba užšifruoti tiek vietinius, tiek tinkle bendrinamus failus. Pažymėtina, kad „Dharma Ransomware“ taiko procesų, susietų su atidarytais failais, pvz., tekstinių failų skaitytuvais ar duomenų bazių programomis, nutraukimo strategiją. Šis metodas padeda išpirkos reikalaujančiajai programai išvengti šifravimo išimčių, kurios gali atsirasti dėl to, kad turinys laikomas „naudojamu“.
Tam tikri duomenys automatiškai neįtraukiami į šifravimo procesą, kad būtų išvengta galimų veikimo problemų, pvz., sistemos failų, kuriuos užšifravus įrenginys gali neveikti. Be to, failai, jau užrakinti kitų išpirkos reikalaujančių programų, yra atleidžiami nuo šifravimo pagal iš anksto nustatytą kenkėjiškų programų sąrašą. Tačiau šis mechanizmas nėra nepriekaištingas, nes neapima visų galimų ransomware tipo programų, todėl pašalinimo procese lieka galimų spragų.
Dharma Ransomware variantai nustato patvarumo mechanizmus
Dharma programinė įranga naudoja įvairius metodus, kad užtikrintų jos išlikimą pažeistose sistemose. Vienas iš būdų apima kenkėjiškos programos nukopijavimą į %LOCALAPPDATA% kelią ir jos registravimą su konkrečiais paleidimo raktais, leidžiančiais automatiškai vykdyti kiekvieną sistemą iš naujo. Siekdama dar labiau sužlugdyti atkūrimo pastangas, išpirkos reikalaujanti programa imasi aktyvaus žingsnio ir ištrina šešėlines tomo kopijas.
Be šių atkaklumo priemonių, Dharmos programos pasižymi sudėtingumo lygiu, atsižvelgiant į aukų geografinę vietą. Ši funkcija leidžia jiems pritaikyti savo atakas, išvengiant ekonominių problemų turinčių regionų, kuriuose namų vartotojai gali mažiau mokėti išpirką. Kenkėjiška programa taip pat gali pasirinkti taikinius pagal geopolitinius sumetimus.
Remiantis išsamia daugelio išpirkos reikalaujančių programų infekcijų analize ir tyrimais, tampa akivaizdu, kad iššifravimas nedalyvaujant užpuolikams paprastai yra neįveikiamas iššūkis. Net tais atvejais, kai aukos pasirenka sumokėti išpirką, nėra garantijos, kad gaus reikiamus iššifravimo raktus ar programinę įrangą. Todėl labai nerekomenduojama pasiduoti išpirkos reikalavimams, nes tokie veiksmai ne tik neužtikrina failų atkūrimo, bet ir prisideda prie neteisėtos veiklos tęsimo.
Nors AeR Ransomware pašalinimas iš sistemos yra labai svarbus siekiant užkirsti kelią tolesniam duomenų šifravimui, būtina atkreipti dėmesį į tai, kad vien šis procesas neatkurs jau pažeistų failų. Pagrindinis sprendimas yra atkurti failus iš saugios atsarginės kopijos, darant prielaidą, kad tokia yra. Tai pabrėžia reguliarių ir patikimų atsarginių kopijų kūrimo, kaip neatsiejamos veiksmingos kibernetinio saugumo strategijos sudedamosios dalies, svarbą.
Išpirkos raštelis AeR rodomas kaip iššokantis langas:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kaip gauti Bitcoins
Lengviausias būdas nusipirkti bitkoinų yra „LocalBitcoins“ svetainė. Turite užsiregistruoti, paspausti „Pirkti bitkoinus“ ir pasirinkti pardavėją pagal mokėjimo būdą ir kainą.
hxxps://localbitcoins.com/buy_bitcoins
Čia taip pat galite rasti kitų vietų, kur galite nusipirkti Bitcoins, ir pradedančiųjų vadovą:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Dėmesio!
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Jūsų failų iššifravimas su trečiųjų šalių pagalba gali padidinti kainą (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.Grėsmės sugeneruotuose tekstiniuose failuose yra toks pranešimas:
Nori grįžti?
rašykite el. paštu aerossh@nerdmail.co arba aerossh@cock.li arba aerossh@proton.me'
