AeR Ransomware

AeR — это угрожающая программа, стратегически созданная для шифрования файлов на взломанных устройствах и требующая выкуп за их расшифровку. Обнаружение программы-вымогателя AeR произошло в ходе тщательного анализа, проведенного исследователями информационной безопасности при расследовании потенциальных угроз вредоносного ПО.

После активации на взломанных устройствах AeR инициирует процесс шифрования, ориентируясь на разнообразные типы файлов и изменяя их исходные имена. Исходные названия файлов подвергаются трансформации: к ним добавляются уникальный идентификатор, присвоенный жертве, адрес электронной почты, принадлежащий злоумышленникам, и расширение .AeR. Для иллюстрации: файл, первоначально помеченный как «1.doc», будет преобразован в «1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR».

После процесса шифрования программа-вымогатель AeR генерирует две отдельные записки о выкупе. Текстовые файлы с именем «info.txt» стратегически размещаются на рабочем столе и в затронутых каталогах. Одновременно во всплывающем окне на видном месте отображается сообщение с требованием выкупа. Примечательно, что AeR Ransomware классифицируется как часть семейства вредоносных угроз Dharma , что указывает на его связь с определенной линией угрожающего программного обеспечения.

Программа-вымогатель AeR берет файлы в заложники и требует выкуп

Записки о выкупе, созданные программой-вымогателем AeR, доставляются в двух разных форматах. Хотя текстовый файл с именем «info.txt», по сути, призывает жертву установить контакт с киберпреступниками, ответственными за атаку, сопутствующее всплывающее окно предоставляет более подробную информацию о ситуации. Во всплывающем окне жертве сообщают, что ее файлы зашифрованы.

Сообщение о выкупе во всплывающем окне содержит заверения о том, что восстановление данных возможно. Тем не менее, это подразумевает, что процесс расшифровки зависит от выплаты выкупа в криптовалюте Биткойн. Кроме того, жертве предоставляется ограниченная возможность протестировать процесс расшифровки максимум трех файлов при соблюдении определенных критериев. Сообщение завершается явными предупреждениями относительно последствий несоблюдения требований.

Программа-вымогатель AeR идентифицируется как часть группы вредоносных программ Dharma, что указывает на ее связь с определенной линией вредоносного программного обеспечения. Программы этой группы обладают способностью изменять или шифровать как локальные, так и общесетевые файлы. Примечательно, что программа-вымогатель Dharma использует стратегию завершения процессов, связанных с открытыми файлами, таких как программы чтения текстовых файлов или программы баз данных. Такой подход помогает программе-вымогателю избежать исключений из шифрования, которые могут возникнуть из-за того, что контент считается «используемым».

Определенные данные автоматически исключаются из процесса шифрования, чтобы предотвратить потенциальные проблемы в работе, например системные файлы, которые в случае шифрования могут вывести устройство из строя. Кроме того, файлы, уже заблокированные другими программами-вымогателями, освобождаются от шифрования на основе заранее определенного списка вредоносных программ. Однако этот механизм не безупречен, поскольку он не охватывает все возможные программы-вымогатели, оставляя потенциальные уязвимости в процессе исключения.

Варианты программ-вымогателей Dharma создают механизмы устойчивости

Программное обеспечение Dharma использует различные методы для обеспечения своей устойчивости на взломанных системах. Один из методов заключается в копировании вредоносной программы по пути %LOCALAPPDATA% и регистрации ее с помощью определенных ключей запуска, что обеспечивает автоматическое выполнение при каждом перезапуске системы. Чтобы еще больше помешать усилиям по восстановлению, программа-вымогатель предпринимает активный шаг по удалению теневых копий томов.

В дополнение к этим мерам настойчивости, программы Дхармы демонстрируют уровень сложности, учитывая геолокацию жертв. Эта функция позволяет им адаптировать свои атаки, избегая регионов с экономическими проблемами, где домашние пользователи с меньшей вероятностью смогут позволить себе выплаты выкупа. Вредоносное ПО также может выбирать цели по геополитическим соображениям.

Опираясь на обширный анализ и исследование многочисленных заражений программами-вымогателями, становится очевидным, что расшифровка без участия злоумышленников обычно является непреодолимой задачей. Даже в тех случаях, когда жертвы решают заплатить выкуп, нет никакой гарантии получения необходимых ключей или программного обеспечения для дешифрования. В результате настоятельно не рекомендуется поддаваться требованиям выкупа, поскольку такие действия не только не обеспечивают восстановление файлов, но и способствуют продолжению незаконной деятельности.

Хотя удаление программы-вымогателя AeR из системы имеет решающее значение для предотвращения дальнейшего шифрования данных, важно отметить, что сам по себе этот процесс не восстановит уже скомпрометированные файлы. Основное решение заключается в восстановлении файлов из безопасной резервной копии, при условии, что она доступна. Это подчеркивает важность поддержания регулярных и надежных методов резервного копирования как неотъемлемого компонента эффективной стратегии кибербезопасности.

Записка о выкупе AeR отображается во всплывающем окне:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Текстовые файлы, созданные угрозой, содержат следующее сообщение:

Вы хотите вернуться?

напишите электронное письмо aerossh@nerdmail.co или aerossh@cock.li или aerossh@proton.me'