AeR Ransomware

O AeR é um programa ameaçador estrategicamente elaborado para criptografar arquivos em dispositivos comprometidos, exigindo pagamentos de resgate pela sua descriptografia. A descoberta do ransomware AeR ocorreu durante análises minuciosas conduzidas por pesquisadores de segurança da informação enquanto investigavam possíveis ameaças de malware.

Após a ativação nos dispositivos comprometidos, o AeR inicia o processo de criptografia, visando uma ampla variedade de tipos de arquivos e modificando seus nomes de arquivos originais. Os títulos iniciais dos arquivos passam por uma transformação, com a adição de um ID único atribuído à vítima, o endereço de e-mail pertencente aos cibercriminosos e a extensão ‘.AeR’. Para ilustrar, um arquivo originalmente rotulado como '1.doc' seria transformado em '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Após o processo de criptografia, o AeR Ransomware gera duas notas de resgate distintas. Os arquivos de texto denominados 'info.txt' são estrategicamente colocados na área de trabalho e nos diretórios afetados. Simultaneamente, uma mensagem exigindo resgate é exibida com destaque em uma janela pop-up. Vale ressaltar que o AeR Ransomware é classificado como parte da família Dharma de ameaças de malware, indicando sua associação com uma linhagem específica de software ameaçador.

O AeR Ransomware Toma os Arquivos como Reféns e Exige um Resgate

As notas de resgate geradas pelo AeR Ransomware são entregues em dois formatos diferentes. Embora o arquivo de texto denominado 'info.txt' essencialmente incentive a vítima a estabelecer contato com os cibercriminosos responsáveis pelo ataque, a janela pop-up que o acompanha fornece informações mais detalhadas sobre a situação. No pop-up, a vítima é informada de que seus arquivos foram criptografados.

A mensagem de resgate na janela pop-up inclui garantias de que a recuperação de dados é viável. Ainda assim, implica que o processo de desencriptação depende do pagamento de um resgate na criptomoeda Bitcoin. Além disso, é oferecida à vítima uma oportunidade limitada de testar o processo de desencriptação de até três ficheiros, sujeito a critérios específicos. A mensagem termina com advertências explícitas sobre as consequências do não cumprimento.

O AeR Ransomware é identificado como parte do grupo de malware Dharma, indicando sua associação com uma linhagem específica de software malicioso. Os programas deste grupo exibem a capacidade de modificar ou criptografar arquivos locais e compartilhados em rede. Notavelmente, o Dharma Ransomware emprega uma estratégia de encerrar processos vinculados a arquivos abertos, como leitores de arquivos de texto ou programas de banco de dados. Essa abordagem ajuda o ransomware a evitar isenções de criptografia que podem ocorrer devido ao conteúdo ser considerado “em uso”.

Determinados dados são automaticamente excluídos do processo de criptografia para evitar possíveis problemas operacionais, como arquivos do sistema, que, se criptografados, podem deixar o dispositivo inoperante. Além disso, os arquivos já bloqueados por outro ransomware estão isentos de criptografia com base em uma lista de malware predeterminada. No entanto, este mecanismo não é perfeito, pois não abrange todos os possíveis programas do tipo ransomware, deixando potenciais vulnerabilidades no processo de exclusão.

As Variantes do Dharma Ransomware Estabelecem Mecanismos de Persistência

O software Dharma emprega diversas técnicas para garantir sua persistência em sistemas comprometidos. Um método envolve copiar o malware para o caminho %LOCALAPPDATA% e registrá-lo com chaves Run específicas, permitindo a execução automática a cada reinicialização do sistema. Para frustrar ainda mais os esforços de recuperação, o ransomware toma a medida proativa de excluir as Shadow Volume Copies.

Além destas medidas de persistência, os programas Dharma apresentam um nível de sofisticação ao considerar a geolocalização das vítimas. Esta funcionalidade permite-lhes adaptar os seus ataques, evitando regiões com desafios económicos onde os utilizadores domésticos podem ser menos propensos a pagar pagamentos de resgate. O malware também pode selecionar alvos com base em considerações geopolíticas.

Com base em extensas análises e pesquisas de inúmeras infecções por ransomware, torna-se evidente que a desencriptação sem o envolvimento dos atacantes é normalmente um desafio intransponível. Mesmo nos casos em que as vítimas optam por pagar o resgate, não há garantia de receber as chaves ou software de desencriptação necessários. Como resultado, é fortemente desaconselhável sucumbir aos pedidos de resgate, uma vez que tais ações não só não conseguem garantir a recuperação de ficheiros, mas também contribuem para a perpetuação de atividades ilegais.

Embora a remoção do AeR Ransomware do sistema seja crucial para evitar mais criptografia de dados, é essencial observar que este processo por si só não restaurará arquivos já comprometidos. A solução principal reside na recuperação de arquivos de um backup seguro, desde que haja um disponível. Isto sublinha a importância de manter práticas de backup regulares e fiáveis como componente integrante de uma estratégia eficaz de segurança cibernética.

A nota de resgate que o AeR mostra como uma janela pop-up diz:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é no site LocalBitcoins. Você deve se registrar, clicar em ‘Comprar bitcoins’ e selecionar o vendedor por forma de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode aumentar o preço (eles acrescentam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Os arquivos de texto gerados pela ameaça contêm a seguinte mensagem:

Você quer voltar?

escreva email aerossh@nerdmail.co ou aerossh@cock.li ou aerossh@proton.me'