AeR-ransomware

AeR is een bedreigend programma dat strategisch is ontworpen om bestanden op aangetaste apparaten te versleutelen en losgeld te eisen voor de ontsleuteling ervan. De ontdekking van de AeR-ransomware vond plaats tijdens grondige analyses uitgevoerd door informatiebeveiligingsonderzoekers tijdens het onderzoeken van potentiële malwarebedreigingen.

Bij activering op de besmette apparaten initieert AeR het coderingsproces, waarbij het zich richt op een breed scala aan bestandstypen en hun oorspronkelijke bestandsnamen wijzigt. De initiële titels van bestanden ondergaan een transformatie, met de toevoeging van een unieke ID die aan het slachtoffer is toegewezen, het e-mailadres van de cybercriminelen en de extensie '.AeR'. Ter illustratie: een bestand dat oorspronkelijk als '1.doc' was gelabeld, zou worden omgezet in '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Na het versleutelingsproces genereert de AeR Ransomware twee afzonderlijke losgeldbriefjes. Tekstbestanden met de naam 'info.txt' worden strategisch op het bureaublad en in de betreffende mappen geplaatst. Tegelijkertijd wordt een bericht waarin losgeld wordt gevraagd prominent weergegeven in een pop-upvenster. Het is opmerkelijk dat de AeR Ransomware is geclassificeerd als onderdeel van de Dharma- familie van malwarebedreigingen, wat aangeeft dat het verband houdt met een specifieke lijn van bedreigende software.

De AeR Ransomware gijzelt de bestanden en eist losgeld

De losgeldnota's gegenereerd door de AeR Ransomware worden in twee verschillende formaten geleverd. Terwijl het tekstbestand met de naam 'info.txt' het slachtoffer in wezen aanspoort contact op te nemen met de cybercriminelen die verantwoordelijk zijn voor de aanval, biedt het bijbehorende pop-upvenster meer gedetailleerde informatie over de situatie. In de pop-up wordt het slachtoffer geïnformeerd dat zijn bestanden zijn gecodeerd.

Het losgeldbericht in het pop-upvenster bevat garanties dat gegevensherstel mogelijk is. Toch impliceert dit dat het decoderingsproces afhangt van de betaling van een losgeld in Bitcoin-cryptocurrency. Bovendien krijgt het slachtoffer een beperkte mogelijkheid om het decoderingsproces voor maximaal drie bestanden te testen, afhankelijk van specifieke criteria. Het bericht wordt afgesloten met expliciete waarschuwingen over de gevolgen van niet-naleving.

De AeR Ransomware wordt geïdentificeerd als onderdeel van de Dharma-malwaregroep, wat aangeeft dat het verband houdt met een specifieke lijn van kwaadaardige software. Programma's binnen deze groep beschikken over de mogelijkheid om zowel lokale als op het netwerk gedeelde bestanden te wijzigen of te coderen. Met name de Dharma Ransomware gebruikt een strategie om processen te beëindigen die zijn gekoppeld aan open bestanden, zoals tekstbestandlezers of databaseprogramma's. Deze aanpak helpt de ransomware om vrijstellingen van encryptie te omzeilen die kunnen optreden omdat de inhoud als 'in gebruik' wordt beschouwd.

Bepaalde gegevens worden automatisch uitgesloten van het versleutelingsproces om mogelijke operationele problemen te voorkomen, zoals systeembestanden die, indien versleuteld, het apparaat niet meer operationeel kunnen maken. Bovendien worden bestanden die al door andere ransomware zijn vergrendeld, vrijgesteld van encryptie op basis van een vooraf bepaalde malwarelijst. Dit mechanisme is echter niet feilloos, omdat het niet alle mogelijke programma's van het ransomware-type omvat, waardoor potentiële kwetsbaarheden in het uitsluitingsproces achterblijven.

De Dharma Ransomware-varianten zorgen voor persistentiemechanismen

De Dharma-software maakt gebruik van verschillende technieken om de persistentie ervan op gecompromitteerde systemen te garanderen. Eén methode bestaat uit het kopiëren van de malware naar het pad %LOCALAPPDATA% en het registreren ervan met specifieke Run-sleutels, waardoor automatische uitvoering mogelijk wordt bij elke herstart van het systeem. Om de herstelinspanningen verder te dwarsbomen, neemt de ransomware de proactieve stap door de schaduwvolumekopieën te verwijderen.

Naast deze persistentiemaatregelen vertonen Dharmaprogramma's een niveau van verfijning door rekening te houden met de geolocatie van slachtoffers. Met deze functionaliteit kunnen ze hun aanvallen op maat maken en regio's met economische problemen vermijden waar thuisgebruikers minder snel losgeld betalen. De malware kan ook doelen selecteren op basis van geopolitieke overwegingen.

Op basis van uitgebreide analyses en onderzoek van talloze ransomware-infecties wordt het duidelijk dat decodering zonder de tussenkomst van de aanvallers doorgaans een onoverkomelijke uitdaging is. Zelfs in gevallen waarin de slachtoffers ervoor kiezen om het losgeld te betalen, is er geen garantie dat ze de benodigde decoderingssleutels of software zullen ontvangen. Als gevolg hiervan wordt het ten zeerste afgeraden om te bezwijken voor losgeldeisen, omdat dergelijke acties niet alleen er niet in slagen het bestandsherstel te garanderen, maar ook bijdragen aan het in stand houden van illegale activiteiten.

Hoewel het verwijderen van de AeR Ransomware van het systeem cruciaal is om verdere gegevensversleuteling te voorkomen, is het essentieel op te merken dat dit proces alleen de bestanden die al zijn aangetast niet zal herstellen. De primaire oplossing ligt in het herstellen van bestanden vanaf een veilige back-up, ervan uitgaande dat er een beschikbaar is. Dit onderstreept het belang van het handhaven van regelmatige en betrouwbare back-uppraktijken als integraal onderdeel van een effectieve cyberbeveiligingsstrategie.

Het losgeldbriefje dat AeR toont als een pop-upvenster is:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hoe Bitcoins te verkrijgen
De eenvoudigste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Hier kunt u ook andere plaatsen vinden om Bitcoins en een beginnershandleiding te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot hogere kosten (zij voegen hun kosten toe aan die van ons) of u kunt het slachtoffer worden van oplichting.

De tekstbestanden die door de bedreiging worden gegenereerd, bevatten het volgende bericht:

Wil je terugkeren?

schrijf e-mail aerossh@nerdmail.co of aerossh@cock.li of aerossh@proton.me'