AeR Ransomware

AeR este un program amenințător creat strategic pentru a cripta fișierele de pe dispozitive compromise, solicitând plăți de răscumpărare pentru decriptarea acestora. Descoperirea ransomware-ului AeR a avut loc în timpul unor analize amănunțite efectuate de cercetătorii în securitatea informațiilor în timp ce investigau potențialele amenințări malware.

La activarea în cadrul dispozitivelor compromise, AeR inițiază procesul de criptare, țintind o gamă variată de tipuri de fișiere și modificându-le numele originale. Titlurile inițiale ale fișierelor suferă o transformare, cu adăugarea unui ID unic atribuit victimei, a adresei de e-mail aparținând infractorilor cibernetici și a extensiei „.AeR”. Pentru a ilustra, un fișier etichetat inițial ca „1.doc” ar fi transformat în „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.”

În urma procesului de criptare, AeR Ransomware generează două note de răscumpărare distincte. Fișierele text numite „info.txt” sunt plasate strategic pe desktop și în directoarele afectate. Simultan, un mesaj care solicită răscumpărare este afișat vizibil într-o fereastră pop-up. Este de remarcat faptul că AeR Ransomware este clasificat ca parte a familiei de amenințări malware Dharma , indicând asocierea sa cu o linie specifică de software amenințător.

AeR Ransomware ia fișierele ostatice și cere răscumpărare

Notele de răscumpărare generate de AeR Ransomware sunt livrate în două formate diferite. În timp ce fișierul text numit „info.txt” îndeamnă în esență victima să stabilească contactul cu infractorii cibernetici responsabili de atac, fereastra pop-up însoțitoare oferă informații mai detaliate despre situație. În fereastra pop-up, victima este informată că fișierele sale au fost criptate.

Mesajul de răscumpărare din fereastra pop-up include asigurări că recuperarea datelor este fezabilă. Totuși, implică faptul că procesul de decriptare depinde de plata unei răscumpări în criptomoneda Bitcoin. În plus, victimei i se oferă o oportunitate limitată de a testa procesul de decriptare pentru până la trei fișiere, în funcție de criterii specifice. Mesajul se încheie cu avertismente explicite cu privire la consecințele nerespectării.

AeR Ransomware este identificat ca parte a grupului de malware Dharma, indicând asocierea sa cu o anumită linie de software rău intenționat. Programele din acest grup prezintă capacitatea de a modifica sau cripta atât fișierele locale, cât și cele partajate în rețea. În special, Dharma Ransomware folosește o strategie de terminare a proceselor legate de fișiere deschise, cum ar fi cititoarele de fișiere text sau programele de baze de date. Această abordare ajută ransomware-ul să evite scutirile de la criptare care pot apărea din cauza conținutului considerat „în uz”.

Anumite date sunt excluse automat din procesul de criptare pentru a preveni potențialele probleme operaționale, cum ar fi fișierele de sistem, care, dacă sunt criptate, ar putea face dispozitivul neoperațional. În plus, fișierele deja blocate de alte ransomware sunt scutite de criptare pe baza unei liste de programe malware predeterminate. Cu toate acestea, acest mecanism nu este impecabil, deoarece nu cuprinde toate programele posibile de tip ransomware, lăsând potențiale vulnerabilități în procesul de excludere.

Variantele Dharma Ransomware stabilesc mecanisme de persistență

Software-ul Dharma folosește diferite tehnici pentru a-și asigura persistența pe sistemele compromise. O metodă implică copierea malware-ului în calea %LOCALAPPDATA% și înregistrarea acestuia cu anumite chei Run, permițând execuția automată la fiecare repornire a sistemului. Pentru a împiedica și mai mult eforturile de recuperare, ransomware-ul face pasul proactiv de a șterge Copiile Shadow Volume.

Pe lângă aceste măsuri de persistență, programele Dharma prezintă un nivel de sofisticare, luând în considerare geolocalizarea victimelor. Această funcționalitate le permite să-și adapteze atacurile, evitând regiunile cu provocări economice în care utilizatorii casnici ar putea fi mai puțin probabil să-și permită plăți de răscumpărare. Malware-ul poate selecta, de asemenea, ținte pe baza considerațiilor geopolitice.

Bazându-se pe analize și cercetări ample ale numeroaselor infecții ransomware, devine evident că decriptarea fără implicarea atacatorilor este de obicei o provocare de netrecut. Chiar și în cazurile în care victimele aleg să plătească răscumpărarea, nu există nicio garanție că vor primi cheile de decriptare sau software-ul necesar. Prin urmare, se recomandă ferm să nu cedeți la cererile de răscumpărare, deoarece astfel de acțiuni nu numai că nu asigură recuperarea fișierelor, ci contribuie și la perpetuarea activităților ilegale.

Deși eliminarea AeR Ransomware din sistem este crucială pentru a preveni criptarea ulterioară a datelor, este esențial să rețineți că acest proces singur nu va restaura fișierele deja compromise. Soluția principală constă în recuperarea fișierelor dintr-un backup securizat, presupunând că unul este disponibil. Acest lucru subliniază importanța menținerii unor practici de backup regulate și fiabile, ca componentă integrantă a unei strategii eficiente de securitate cibernetică.

Nota de răscumpărare pe care AeR o arată ca o fereastră pop-up este:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Cum să obțineți Bitcoins
Cel mai simplu mod de a cumpăra bitcoini este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț.
hxxps://localbitcoins.com/buy_bitcoins
De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoins și ghid pentru începători aici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenţie!
Nu redenumiți fișierele criptate.
Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor.
Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate duce la creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.

Fișierele text generate de amenințare conțin următorul mesaj:

Vrei să te întorci?

scrie e-mail aerossh@nerdmail.co sau aerossh@cock.li sau aerossh@proton.me'