AeR Ransomware

AeR ialah program mengancam yang direka secara strategik untuk menyulitkan fail pada peranti yang terjejas, menuntut bayaran tebusan untuk penyahsulitan mereka. Penemuan perisian tebusan AeR berlaku semasa analisis menyeluruh yang dijalankan oleh penyelidik keselamatan maklumat semasa menyiasat potensi ancaman perisian hasad.

Selepas pengaktifan dalam peranti yang terjejas, AeR memulakan proses penyulitan, menyasarkan pelbagai jenis fail dan mengubah suai nama fail asalnya. Tajuk awal fail mengalami transformasi, dengan penambahan ID unik yang diberikan kepada mangsa, alamat e-mel kepunyaan penjenayah siber dan sambungan '.AeR'. Untuk menggambarkan, fail yang pada asalnya dilabel sebagai '1.doc' akan diubah menjadi '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Berikutan proses penyulitan, AeR Ransomware menjana dua nota tebusan yang berbeza. Fail teks bernama 'info.txt' diletakkan secara strategik pada desktop dan dalam direktori yang terjejas. Pada masa yang sama, mesej menuntut wang tebusan dipaparkan dengan jelas dalam tetingkap pop timbul. Perlu diperhatikan bahawa AeR Ransomware diklasifikasikan sebagai sebahagian daripada keluarga Dharma ancaman perisian hasad, menunjukkan perkaitannya dengan keturunan perisian mengancam tertentu.

Perisian Ransom AeR Menjadikan Fail sebagai Tebusan dan Meminta Tebusan

Nota tebusan yang dijana oleh AeR Ransomware dihantar dalam dua format berbeza. Walaupun fail teks bernama 'info.txt' pada dasarnya menggesa mangsa untuk menjalin hubungan dengan penjenayah siber yang bertanggungjawab untuk serangan itu, tetingkap pop timbul yang disertakan memberikan maklumat yang lebih terperinci tentang situasi tersebut. Dalam pop timbul, mangsa dimaklumkan bahawa fail mereka telah melalui penyulitan.

Mesej tebusan dalam tetingkap pop timbul termasuk jaminan bahawa pemulihan data boleh dilaksanakan. Namun, ia membayangkan bahawa proses penyahsulitan bergantung pada pembayaran wang tebusan dalam mata wang kripto Bitcoin. Selain itu, mangsa ditawarkan peluang terhad untuk menguji proses penyahsulitan sehingga tiga fail, tertakluk kepada kriteria tertentu. Mesej itu diakhiri dengan amaran yang jelas mengenai akibat daripada ketidakpatuhan.

AeR Ransomware dikenal pasti sebagai sebahagian daripada kumpulan perisian hasad Dharma, yang menunjukkan perkaitannya dengan keturunan tertentu perisian berniat jahat. Program dalam kumpulan ini mempamerkan keupayaan untuk mengubah suai atau menyulitkan kedua-dua fail tempatan dan rangkaian yang dikongsi. Terutamanya, Dharma Ransomware menggunakan strategi untuk menamatkan proses yang dipautkan ke fail terbuka, seperti pembaca fail teks atau program pangkalan data. Pendekatan ini membantu perisian tebusan mengelakkan pengecualian daripada penyulitan yang mungkin berlaku disebabkan kandungan yang dianggap 'sedang digunakan.'

Data tertentu dikecualikan secara automatik daripada proses penyulitan untuk mengelakkan kemungkinan isu operasi, seperti fail sistem, yang, jika disulitkan, boleh menyebabkan peranti tidak beroperasi. Selain itu, fail yang telah dikunci oleh perisian tebusan lain dikecualikan daripada penyulitan berdasarkan senarai perisian hasad yang telah ditetapkan. Walau bagaimanapun, mekanisme ini tidak sempurna, kerana ia tidak merangkumi semua kemungkinan program jenis perisian tebusan, meninggalkan potensi kelemahan dalam proses pengecualian.

Varian Perisian Tebusan Dharma Mewujudkan Mekanisme Kegigihan

Perisian Dharma menggunakan pelbagai teknik untuk memastikan kegigihannya pada sistem yang terjejas. Satu kaedah melibatkan penyalinan perisian hasad ke laluan %LOCALAPPDATA% dan mendaftarkannya dengan kekunci Jalankan tertentu, membolehkan pelaksanaan automatik apabila setiap sistem dimulakan semula. Untuk menggagalkan lagi usaha pemulihan, perisian tebusan mengambil langkah proaktif untuk memadamkan Salinan Volume Bayangan.

Sebagai tambahan kepada langkah-langkah kegigihan ini, program Dharma mempamerkan tahap kecanggihan dengan mempertimbangkan geolokasi mangsa. Fungsi ini membolehkan mereka menyesuaikan serangan mereka, mengelakkan kawasan yang menghadapi cabaran ekonomi di mana pengguna rumah mungkin kurang berkemungkinan membayar tebusan. Malware juga boleh memilih sasaran berdasarkan pertimbangan geopolitik.

Berdasarkan analisis dan penyelidikan yang meluas ke atas pelbagai jangkitan perisian tebusan, jelaslah bahawa penyahsulitan tanpa penglibatan penyerang biasanya merupakan satu cabaran yang tidak dapat diatasi. Walaupun dalam kes di mana mangsa memilih untuk membayar wang tebusan, tiada jaminan untuk menerima kunci atau perisian penyahsulitan yang diperlukan. Akibatnya, adalah dinasihatkan supaya tidak tunduk kepada tuntutan wang tebusan, kerana tindakan sedemikian bukan sahaja gagal memastikan pemulihan fail tetapi juga menyumbang kepada pengekalan aktiviti haram.

Walaupun penyingkiran AeR Ransomware daripada sistem adalah penting untuk menghalang penyulitan data selanjutnya, adalah penting untuk ambil perhatian bahawa proses ini sahaja tidak akan memulihkan fail yang telah terjejas. Penyelesaian utama terletak pada memulihkan fail daripada sandaran selamat, dengan mengandaikan satu tersedia. Ini menekankan kepentingan mengekalkan amalan sandaran yang tetap dan boleh dipercayai sebagai komponen penting dalam strategi keselamatan siber yang berkesan.

Nota tebusan yang ditunjukkan AeR sebagai tetingkap timbul ialah:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Bagaimana untuk mendapatkan Bitcoins
Cara paling mudah untuk membeli bitcoin ialah tapak LocalBitcoins. Anda perlu mendaftar, klik 'Beli bitcoin', dan pilih penjual mengikut kaedah pembayaran dan harga.
hxxps://localbitcoins.com/buy_bitcoins
Anda juga boleh mencari tempat lain untuk membeli Bitcoin dan panduan pemula di sini:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Perhatian!
Jangan menamakan semula fail yang disulitkan.
Jangan cuba menyahsulit data anda menggunakan perisian pihak ketiga, ia boleh menyebabkan kehilangan data kekal.
Penyahsulitan fail anda dengan bantuan pihak ketiga boleh menyebabkan harga meningkat (mereka menambahkan bayaran mereka kepada kami) atau anda boleh menjadi mangsa penipuan.

Fail teks yang dijana oleh ancaman mengandungi mesej berikut:

Awak nak balik?

tulis e-mel aerossh@nerdmail.co atau aerossh@cock.li atau aerossh@proton.me'