AeR Ransomware
AeR एक धम्कीपूर्ण कार्यक्रम हो जुन रणनीतिक रूपमा सम्झौता गरिएका यन्त्रहरूमा फाइलहरू इन्क्रिप्ट गर्न, तिनीहरूको डिक्रिप्शनको लागि फिरौतीको भुक्तानीको माग गर्दै। AeR ransomware को खोज सम्भावित मालवेयर खतराहरू अनुसन्धान गर्दा सूचना सुरक्षा अनुसन्धानकर्ताहरू द्वारा आयोजित गहन विश्लेषणको क्रममा भयो।
सम्झौता गरिएका यन्त्रहरूमा सक्रिय भएपछि, AeR ले इन्क्रिप्शन प्रक्रिया प्रारम्भ गर्छ, विभिन्न प्रकारका फाइलहरू लक्षित गर्दै र तिनीहरूको मूल फाइलनामहरू परिमार्जन गर्दछ। फाइलहरूको प्रारम्भिक शीर्षकहरू एक रूपान्तरणबाट गुजर्छन्, पीडितलाई तोकिएको एक अद्वितीय ID, साइबर अपराधीहरूसँग सम्बन्धित इमेल ठेगाना, र '.AeR' विस्तारको साथ। उदाहरणका लागि, मूल रूपमा '1.doc' को रूपमा लेबल गरिएको फाइललाई '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.' मा रूपान्तरण गरिनेछ।
इन्क्रिप्शन प्रक्रिया पछ्याउँदै, AeR Ransomware ले दुई फरक फिरौती नोटहरू उत्पन्न गर्दछ। 'info.txt' नामक पाठ फाइलहरू रणनीतिक रूपमा डेस्कटपमा र प्रभावित डाइरेक्टरीहरूमा राखिन्छन्। एकै साथ, एक फिरौती-माग सन्देश प्रमुख रूपमा पप-अप विन्डोमा प्रदर्शित हुन्छ। यो उल्लेखनीय छ कि AeR Ransomware लाई मालवेयर धम्कीको धर्म परिवारको भागको रूपमा वर्गीकृत गरिएको छ, यसले धम्की दिने सफ्टवेयरको एक विशेष वंशसँग यसको सम्बन्धलाई संकेत गर्दछ।
AeR Ransomware ले फाइलहरूलाई बन्धक बनाउँछ र फिरौतीको माग गर्दछ
AeR Ransomware द्वारा उत्पन्न फिरौती नोटहरू दुई फरक ढाँचाहरूमा डेलिभर गरिन्छ। जबकि 'info.txt' नामको पाठ फाइलले आक्रमणको लागि जिम्मेवार साइबर अपराधीहरूसँग सम्पर्क स्थापित गर्न पीडितलाई अनिवार्य रूपमा आग्रह गर्दछ, सँगैको पप-अप विन्डोले स्थितिको बारेमा थप विस्तृत जानकारी प्रदान गर्दछ। पप-अपमा, पीडितलाई सूचित गरिन्छ कि उनीहरूको फाइलहरू इन्क्रिप्शनबाट गुज्रिएको छ।
पप-अप विन्डोमा रहेको फिरौती सन्देशले डाटा रिकभरी सम्भव छ भन्ने आश्वासनहरू समावेश गर्दछ। अझै, यसले संकेत गर्दछ कि डिक्रिप्शन प्रक्रिया बिटकोइन क्रिप्टोकरन्सीमा फिरौतीको भुक्तानीमा निर्भर छ। थप रूपमा, पीडितलाई विशेष मापदण्डको अधीनमा, तीनवटा फाइलहरूको लागि डिक्रिप्शन प्रक्रिया परीक्षण गर्ने सीमित अवसर प्रदान गरिन्छ। सन्देश पालना नगर्ने परिणामहरूको सन्दर्भमा स्पष्ट चेतावनीको साथ समाप्त हुन्छ।
AeR Ransomware लाई धर्म मालवेयर समूहको भागको रूपमा पहिचान गरिएको छ, यसले दुर्भावनापूर्ण सफ्टवेयरको विशिष्ट वंशसँग यसको सम्बन्धलाई संकेत गर्दछ। यस समूह भित्रका कार्यक्रमहरूले स्थानीय र नेटवर्क-साझेदारी फाइलहरू परिमार्जन वा इन्क्रिप्ट गर्ने क्षमता प्रदर्शन गर्दछ। विशेष रूपमा, धर्मा र्यान्समवेयरले खुला फाइलहरूसँग लिङ्क गरिएका प्रक्रियाहरू समाप्त गर्ने रणनीति प्रयोग गर्दछ, जस्तै टेक्स्ट फाइल रिडरहरू वा डाटाबेस प्रोग्रामहरू। यो दृष्टिकोणले ransomware लाई इन्क्रिप्शनबाट छुटहरू जोगाउन मद्दत गर्दछ जुन सामग्री 'प्रयोगमा' मानीएको कारण हुन सक्छ।
प्रणाली फाइलहरू जस्ता सम्भावित अपरेशनल समस्याहरूलाई रोक्नको लागि निश्चित डेटा स्वचालित रूपमा इन्क्रिप्सन प्रक्रियाबाट बहिष्कृत गरिएको छ, जुन, यदि इन्क्रिप्ट गरिएको छ भने, उपकरणलाई गैर-कार्यकारी रेन्डर गर्न सक्छ। थप रूपमा, अन्य ransomware द्वारा पहिले नै लक गरिएका फाइलहरूलाई पूर्वनिर्धारित मालवेयर सूचीको आधारमा इन्क्रिप्सनबाट छुट दिइन्छ। यद्यपि, यो संयन्त्र निर्दोष छैन, किनकि यसले सम्भावित ransomware-प्रकारका कार्यक्रमहरू समावेश गर्दैन, बहिष्करण प्रक्रियामा सम्भावित कमजोरीहरूलाई छोडेर।
धर्म Ransomware भेरियन्टहरूले दृढता संयन्त्रहरू स्थापना गर्दछ
धर्म सफ्टवेयरले सम्झौता प्रणालीहरूमा यसको दृढता सुनिश्चित गर्न विभिन्न प्रविधिहरू प्रयोग गर्दछ। एउटा विधिमा मालवेयरलाई %LOCALAPPDATA% मार्गमा प्रतिलिपि गर्ने र प्रत्येक प्रणाली पुन: सुरु गर्दा स्वचालित कार्यान्वयन सक्षम पार्दै, विशिष्ट रन कुञ्जीहरूसँग दर्ता गर्ने समावेश छ। रिकभरी प्रयासहरूलाई थप विफल पार्न, ransomware ले छाया भोल्युम प्रतिलिपिहरू मेटाउने सक्रिय कदम चाल्छ।
यी दृढताका उपायहरूका अतिरिक्त, धर्म कार्यक्रमहरूले पीडितहरूको भौगोलिक स्थानलाई विचार गरेर परिष्कारको स्तर प्रदर्शन गर्दछ। यो कार्यक्षमताले उनीहरूलाई उनीहरूको आक्रमणहरू अनुकूल बनाउन अनुमति दिन्छ, आर्थिक चुनौतिहरू भएका क्षेत्रहरूलाई बेवास्ता गर्दै जहाँ घर प्रयोगकर्ताहरूले फिरौती भुक्तान गर्न सक्ने सम्भावना कम हुन सक्छ। मालवेयरले भूराजनीतिक विचारहरूमा आधारित लक्ष्यहरू पनि चयन गर्न सक्छ।
धेरै ransomware संक्रमणहरूको विस्तृत विश्लेषण र अनुसन्धानमा चित्रण गर्दा, यो स्पष्ट हुन्छ कि आक्रमणकारीहरूको संलग्नता बिना डिक्रिप्शन सामान्यतया एक दुर्गम चुनौती हो। पीडितहरूले फिरौती तिर्न रोज्ने अवस्थामा पनि आवश्यक डिक्रिप्शन कुञ्जी वा सफ्टवेयर प्राप्त गर्ने कुनै ग्यारेन्टी हुँदैन। नतिजाको रूपमा, फिरौतीको मागमा झुक्नु विरुद्ध कडा सल्लाह दिइन्छ, किनकि त्यस्ता कार्यहरूले फाइल रिकभरी सुनिश्चित गर्न मात्र असफल हुँदैन तर गैरकानूनी गतिविधिहरूको निरन्तरतामा पनि योगदान पुर्याउँछ।
जबकि प्रणालीबाट AeR Ransomware को हटाउने थप डाटा ईन्क्रिप्शन रोक्न महत्त्वपूर्ण छ, यो नोट गर्न आवश्यक छ कि एक्लै यो प्रक्रियाले पहिले नै सम्झौता गरिएका फाइलहरू पुनर्स्थापना गर्दैन। प्राथमिक समाधान एक सुरक्षित ब्याकअपबाट फाइलहरू पुन: प्राप्तिमा छ, मानिन्छ कि एउटा उपलब्ध छ। यसले प्रभावकारी साइबर सुरक्षा रणनीतिको अभिन्न अंगको रूपमा नियमित र भरपर्दो ब्याकअप अभ्यासहरू कायम राख्नुको महत्त्वलाई जोड दिन्छ।
फिरौती नोट AeR पप-अप विन्डोको रूपमा देखाउँछ:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Bitcoins कसरी प्राप्त गर्ने
Bitcoins किन्न को लागी सबै भन्दा सजिलो तरीका LocalBitcoins साइट हो। तपाईंले दर्ता गर्नुपर्नेछ, 'बिटकोइनहरू किन्नुहोस्' क्लिक गर्नुहोस्, र भुक्तानी विधि र मूल्यद्वारा विक्रेता चयन गर्नुहोस्।
hxxps://localbitcoins.com/buy_bitcoins
साथै तपाइँ Bitcoins र शुरुआती गाइड किन्नको लागि अन्य ठाउँहरू यहाँ फेला पार्न सक्नुहुन्छ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ध्यान!
एन्क्रिप्टेड फाइलहरू पुन: नामाकरण नगर्नुहोस्।
तेस्रो पक्ष सफ्टवेयर प्रयोग गरेर आफ्नो डाटा डिक्रिप्ट गर्ने प्रयास नगर्नुहोस्, यसले स्थायी डाटा हानि हुन सक्छ।
तेस्रो पक्षहरूको सहयोगमा तपाईंको फाइलहरूको डिक्रिप्शनले मूल्य वृद्धि गर्न सक्छ (तिनीहरूले हाम्रो शुल्क थप्छन्) वा तपाईं घोटालाको शिकार हुन सक्नुहुन्छ।धम्कीद्वारा उत्पन्न पाठ फाइलहरूमा निम्न सन्देश समावेश छ:
तपाईं फर्कन चाहनुहुन्छ?
ईमेल लेख्नुहोस् aerossh@nerdmail.co वा aerossh@cock.li वा aerossh@proton.me'
