AeR Ransomware

AeR to groźny program, strategicznie stworzony do szyfrowania plików na zaatakowanych urządzeniach i żądający zapłaty okupu za ich odszyfrowanie. Do odkrycia oprogramowania ransomware AeR doszło podczas dokładnych analiz przeprowadzonych przez badaczy bezpieczeństwa informacji podczas badania potencjalnych zagrożeń złośliwym oprogramowaniem.

Po aktywacji na zaatakowanych urządzeniach AeR inicjuje proces szyfrowania, atakując różnorodne typy plików i modyfikując ich oryginalne nazwy plików. Początkowe tytuły plików ulegają transformacji, dodając unikalny identyfikator przypisany ofierze, adres e-mail należący do cyberprzestępców oraz rozszerzenie „.AeR”. Aby to zilustrować, plik pierwotnie oznaczony jako „1.doc” zostałby przekształcony w „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR”.

Po procesie szyfrowania AeR Ransomware generuje dwie różne notatki z żądaniem okupu. Pliki tekstowe o nazwie „info.txt” są strategicznie umieszczane na pulpicie oraz w katalogach, których dotyczy problem. Jednocześnie w wyskakującym oknie wyświetlana jest wiadomość z żądaniem okupu. Warto zauważyć, że oprogramowanie AeR Ransomware jest klasyfikowane jako część rodziny zagrożeń złośliwym oprogramowaniem Dharma , co wskazuje na jego powiązanie z określoną linią groźnego oprogramowania.

Ransomware AeR bierze pliki jako zakładników i żąda okupu

Notatki z żądaniem okupu generowane przez AeR Ransomware są dostarczane w dwóch różnych formatach. Chociaż plik tekstowy o nazwie „info.txt” zasadniczo namawia ofiarę do nawiązania kontaktu z cyberprzestępcami odpowiedzialnymi za atak, towarzyszące mu wyskakujące okienko dostarcza bardziej szczegółowych informacji o sytuacji. W wyskakującym okienku ofiara jest informowana, że jej pliki zostały zaszyfrowane.

Wiadomość z żądaniem okupu wyświetlana w wyskakującym oknie zawiera zapewnienie, że odzyskanie danych jest możliwe. Sugeruje to jednak, że proces odszyfrowywania zależy od zapłacenia okupu w kryptowalucie Bitcoin. Ponadto ofiara ma ograniczoną możliwość przetestowania procesu deszyfrowania maksymalnie trzech plików, z zastrzeżeniem określonych kryteriów. Komunikat kończy się wyraźnymi ostrzeżeniami dotyczącymi konsekwencji nieprzestrzegania zasad.

Oprogramowanie AeR Ransomware jest identyfikowane jako część grupy szkodliwego oprogramowania Dharma, co wskazuje na jego powiązanie z określoną linią złośliwego oprogramowania. Programy należące do tej grupy umożliwiają modyfikowanie lub szyfrowanie plików zarówno lokalnych, jak i udostępnianych w sieci. Warto zauważyć, że Dharma Ransomware wykorzystuje strategię kończenia procesów powiązanych z otwartymi plikami, takimi jak czytniki plików tekstowych lub programy baz danych. Takie podejście pomaga oprogramowaniu ransomware uniknąć wyjątków od szyfrowania, które mogą wystąpić w przypadku uznania treści za „w użyciu”.

Niektóre dane są automatycznie wykluczane z procesu szyfrowania, aby zapobiec potencjalnym problemom operacyjnym, takim jak pliki systemowe, które w przypadku zaszyfrowania mogą spowodować, że urządzenie nie będzie działać. Ponadto pliki już zablokowane przez inne oprogramowanie ransomware są wyłączone z szyfrowania na podstawie wcześniej określonej listy złośliwego oprogramowania. Mechanizm ten nie jest jednak bezbłędny, gdyż nie obejmuje wszystkich możliwych programów typu ransomware, pozostawiając potencjalne luki w procesie wykluczania.

Warianty oprogramowania ransomware Dharma ustanawiają mechanizmy trwałości

Oprogramowanie Dharma wykorzystuje różne techniki, aby zapewnić jego trwałość w zaatakowanych systemach. Jedna z metod polega na skopiowaniu złośliwego oprogramowania do ścieżki %LOCALAPPDATA% i zarejestrowaniu go za pomocą określonych kluczy Uruchom, co umożliwia automatyczne wykonanie po każdym ponownym uruchomieniu systemu. Aby jeszcze bardziej udaremnić wysiłki związane z odzyskiwaniem, oprogramowanie ransomware podejmuje proaktywny krok polegający na usuwaniu kopii woluminów w tle.

Oprócz tych środków trwałości, programy Dharmy wykazują poziom zaawansowania, ponieważ uwzględniają geolokalizację ofiar. Ta funkcjonalność pozwala im dostosować swoje ataki, unikając regionów borykających się z wyzwaniami gospodarczymi, w których prawdopodobieństwo, że użytkowników domowych będzie stać na zapłatę okupu, będzie mniejsze. Szkodnik może również wybierać cele w oparciu o względy geopolityczne.

Opierając się na obszernej analizie i badaniach licznych infekcji ransomware, staje się oczywiste, że odszyfrowanie bez udziału atakujących jest zazwyczaj wyzwaniem nie do pokonania. Nawet w przypadkach, gdy ofiary zdecydują się zapłacić okup, nie ma gwarancji otrzymania niezbędnych kluczy deszyfrujących lub oprogramowania. W rezultacie zdecydowanie odradza się uleganie żądaniom okupu, ponieważ takie działania nie tylko nie zapewniają odzyskania plików, ale także przyczyniają się do utrwalenia nielegalnych działań.

Chociaż usunięcie oprogramowania AeR Ransomware z systemu jest kluczowe, aby zapobiec dalszemu szyfrowaniu danych, należy pamiętać, że sam ten proces nie przywróci już zainfekowanych plików. Podstawowym rozwiązaniem jest odzyskanie plików z bezpiecznej kopii zapasowej, o ile taka jest dostępna. Podkreśla to znaczenie utrzymywania regularnych i niezawodnych praktyk tworzenia kopii zapasowych jako integralnego elementu skutecznej strategii cyberbezpieczeństwa.

Notatka z żądaniem okupu AeR wyświetlana w wyskakującym oknie to:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Jak zdobyć Bitcoiny
Najłatwiejszym sposobem zakupu bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do zakupu Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.

Pliki tekstowe generowane przez zagrożenie zawierają następujący komunikat:

Chcesz wrócić?

napisz e-mail aerossh@nerdmail.co lub aerossh@cock.li lub aerossh@proton.me”