AeR Ransomware

AeR er et truende program som er strategisk laget for å kryptere filer på kompromitterte enheter, og krever løsepenger for dekryptering. Oppdagelsen av AeR-ransomware skjedde under grundige analyser utført av informasjonssikkerhetsforskere mens de undersøkte potensielle trusler mot skadelig programvare.

Ved aktivering innenfor de kompromitterte enhetene, starter AeR krypteringsprosessen, retter seg mot en mangfoldig rekke filtyper og endrer deres originale filnavn. De første titlene på filene gjennomgår en transformasjon, med tillegg av en unik ID som er tildelt offeret, e-postadressen som tilhører nettkriminelle og utvidelsen '.AeR'. For å illustrere vil en fil som opprinnelig ble merket som '1.doc' bli transformert til '1.doc.id-9ECFA74E.[aerosh@nerdmail.co].AeR.'

Etter krypteringsprosessen genererer AeR Ransomware to forskjellige løsepenger. Tekstfiler kalt 'info.txt' er strategisk plassert på skrivebordet og i berørte kataloger. Samtidig vises en løsepengekrevende melding tydelig i et popup-vindu. Det er bemerkelsesverdig at AeR Ransomware er klassifisert som en del av Dharma- familien av malware-trusler, noe som indikerer tilknytningen til en spesifikk linje av truende programvare.

AeR Ransomware tar filene som gisler og krever løsepenger

Løsepengene som genereres av AeR Ransomware, leveres i to forskjellige formater. Mens tekstfilen med navnet 'info.txt' i hovedsak oppfordrer offeret til å etablere kontakt med nettkriminelle som er ansvarlige for angrepet, gir det medfølgende popup-vinduet mer detaljert informasjon om situasjonen. I popup-vinduet blir offeret informert om at filene deres har gjennomgått kryptering.

Løsepengemeldingen i popup-vinduet inkluderer forsikringer om at datagjenoppretting er mulig. Likevel innebærer det at dekrypteringsprosessen avhenger av betaling av løsepenger i Bitcoin kryptovaluta. I tillegg tilbys offeret en begrenset mulighet til å teste dekrypteringsprosessen for opptil tre filer, underlagt spesifikke kriterier. Meldingen avsluttes med eksplisitte advarsler om konsekvensene av manglende overholdelse.

AeR Ransomware er identifisert som en del av Dharma malware-gruppen, noe som indikerer dens tilknytning til en spesifikk linje av skadelig programvare. Programmer innenfor denne gruppen viser muligheten til å endre eller kryptere både lokale og nettverksdelte filer. Spesielt bruker Dharma Ransomware en strategi for å avslutte prosesser knyttet til åpne filer, for eksempel tekstfillesere eller databaseprogrammer. Denne tilnærmingen hjelper løsepengevaren med å unngå unntak fra kryptering som kan oppstå på grunn av at innholdet anses som "i bruk".

Enkelte data ekskluderes automatisk fra krypteringsprosessen for å forhindre potensielle driftsproblemer, for eksempel systemfiler, som, hvis de krypteres, kan gjøre enheten ubrukelig. I tillegg er filer som allerede er låst av andre løsepengeprogrammer unntatt fra kryptering basert på en forhåndsbestemt skadevareliste. Denne mekanismen er imidlertid ikke feilfri, siden den ikke omfatter alle mulige løsepengevare-programmer, noe som etterlater potensielle sårbarheter i eksklusjonsprosessen.

Dharma Ransomware-varianter etablerer persistensmekanismer

Dharma-programvaren bruker forskjellige teknikker for å sikre at den holder seg på kompromitterte systemer. En metode innebærer å kopiere skadelig programvare til %LOCALAPPDATA%-banen og registrere den med spesifikke Run-nøkler, slik at automatisk kjøring blir mulig ved hver omstart av systemet. For ytterligere å hindre gjenopprettingstiltak, tar løsepengevaren det proaktive trinnet med å slette Shadow Volume Copies.

I tillegg til disse utholdenhetstiltakene, viser Dharma-programmer et sofistikert nivå ved å vurdere ofrenes geolokalisering. Denne funksjonaliteten lar dem skreddersy angrepene sine, og unngår regioner med økonomiske utfordringer der hjemmebrukere har mindre sannsynlighet for å betale løsepenger. Skadevaren kan også velge mål basert på geopolitiske hensyn.

Ved å trekke på omfattende analyser og forskning av en rekke løsepengevareinfeksjoner, blir det tydelig at dekryptering uten involvering av angriperne vanligvis er en uoverkommelig utfordring. Selv i tilfeller der ofrene velger å betale løsepenger, er det ingen garanti for å motta de nødvendige dekrypteringsnøklene eller programvaren. Som et resultat frarådes det på det sterkeste å gi etter for krav om løsepenger, siden slike handlinger ikke bare ikke sikrer filgjenoppretting, men også bidrar til å opprettholde ulovlige aktiviteter.

Selv om fjerning av AeR Ransomware fra systemet er avgjørende for å forhindre ytterligere datakryptering, er det viktig å merke seg at denne prosessen alene ikke vil gjenopprette filer som allerede er kompromittert. Den primære løsningen ligger i å gjenopprette filer fra en sikker sikkerhetskopi, forutsatt at en er tilgjengelig. Dette understreker viktigheten av å opprettholde regelmessig og pålitelig sikkerhetskopiering som en integrert komponent i en effektiv nettsikkerhetsstrategi.

Løsepengene AeR viser som et popup-vindu er:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økt pris (de legger til gebyret vårt) eller du kan bli et offer for en svindel.

Tekstfilene generert av trusselen inneholder følgende melding:

Vil du tilbake?

skriv e-post aerossh@nerdmail.co eller aerossh@cock.li eller aerossh@proton.me'