AeR Ransomware

AeR je hrozivý program strategicky vytvorený na šifrovanie súborov na napadnutých zariadeniach, pričom za ich dešifrovanie vyžaduje platby výkupného. K objaveniu ransomvéru AeR došlo počas dôkladných analýz vykonaných výskumníkmi informačnej bezpečnosti pri skúmaní potenciálnych hrozieb škodlivého softvéru.

Po aktivácii v kompromitovaných zariadeniach AeR iniciuje proces šifrovania, pričom sa zameria na rôzne typy súborov a upraví ich pôvodné názvy súborov. Počiatočné názvy súborov prechádzajú transformáciou, pričom sa pridáva jedinečné ID priradené obeti, e-mailová adresa patriaca kyberzločincom a prípona „.AeR“. Na ilustráciu, súbor pôvodne označený ako „1.doc“ by sa transformoval na „1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.“

Po procese šifrovania AeR Ransomware vygeneruje dve odlišné poznámky o výkupnom. Textové súbory s názvom 'info.txt' sú strategicky umiestnené na pracovnej ploche av príslušných adresároch. Súčasne sa vo vyskakovacom okne nápadne zobrazí správa požadujúca výkupné. Je pozoruhodné, že AeR Ransomware je klasifikovaný ako súčasť rodiny malvérových hrozieb Dharma , čo naznačuje jeho spojenie s konkrétnou líniou ohrozujúceho softvéru.

AeR Ransomware si vezme súbory ako rukojemníka a požaduje výkupné

Výkupné vygenerované AeR Ransomware sa dodávajú v dvoch rôznych formátoch. Zatiaľ čo textový súbor s názvom „info.txt“ v podstate vyzýva obeť, aby nadviazala kontakt s kyberzločincami zodpovednými za útok, sprievodné kontextové okno poskytuje podrobnejšie informácie o situácii. V kontextovom okne je obeť informovaná, že jej súbory prešli šifrovaním.

Správa o výkupnom vo vyskakovacom okne obsahuje záruky, že obnova dát je uskutočniteľná. Napriek tomu to znamená, že proces dešifrovania závisí od zaplatenia výkupného v kryptomene Bitcoin. Okrem toho má obeť obmedzenú možnosť otestovať proces dešifrovania až pre tri súbory podľa špecifických kritérií. Správa končí výslovnými upozorneniami týkajúcimi sa dôsledkov nedodržania pravidiel.

AeR Ransomware je identifikovaný ako súčasť skupiny malvéru Dharma, čo naznačuje jeho spojenie s konkrétnou líniou škodlivého softvéru. Programy v rámci tejto skupiny vykazujú schopnosť upravovať alebo šifrovať lokálne aj sieťovo zdieľané súbory. Najmä Dharma Ransomware využíva stratégiu ukončenia procesov spojených s otvorenými súbormi, ako sú čítačky textových súborov alebo databázové programy. Tento prístup pomáha ransomvéru vyhnúť sa výnimkám zo šifrovania, ktoré sa môžu vyskytnúť v dôsledku toho, že sa obsah považuje za „používaný“.

Niektoré údaje sú automaticky vylúčené z procesu šifrovania, aby sa predišlo možným prevádzkovým problémom, ako sú systémové súbory, ktoré by v prípade zašifrovania mohli spôsobiť nefunkčnosť zariadenia. Okrem toho sú súbory, ktoré už boli uzamknuté iným ransomvérom, oslobodené od šifrovania na základe vopred určeného zoznamu škodlivého softvéru. Tento mechanizmus však nie je bezchybný, pretože nezahŕňa všetky možné programy typu ransomware, čo ponecháva potenciálne zraniteľné miesta v procese vylúčenia.

Varianty Dharma Ransomware vytvárajú mechanizmy perzistencie

Softvér Dharma využíva rôzne techniky na zabezpečenie jeho pretrvávania na napadnutých systémoch. Jedna metóda zahŕňa skopírovanie malvéru do cesty %LOCALAPPDATA% a jeho registráciu pomocou špecifických klávesov Run, čo umožňuje automatické spustenie pri každom reštarte systému. Na ďalšie zmarenie úsilia o obnovu podniká ransomvér proaktívny krok vymazania tieňových kópií zväzku.

Okrem týchto opatrení na pretrvávanie, programy Dharma vykazujú úroveň sofistikovanosti zohľadňovaním geolokácie obetí. Táto funkcia im umožňuje prispôsobiť svoje útoky a vyhnúť sa regiónom s ekonomickými problémami, kde je menej pravdepodobné, že si domáci používatelia dovolia zaplatiť výkupné. Malvér môže tiež vybrať ciele na základe geopolitických úvah.

Na základe rozsiahlej analýzy a výskumu mnohých infekcií ransomware je zrejmé, že dešifrovanie bez účasti útočníkov je zvyčajne neprekonateľná výzva. Dokonca aj v prípadoch, keď sa obete rozhodnú zaplatiť výkupné, neexistuje žiadna záruka, že dostanú potrebné dešifrovacie kľúče alebo softvér. V dôsledku toho sa dôrazne neodporúča podľahnúť požiadavkám na výkupné, pretože takéto akcie nielenže nedokážu zabezpečiť obnovu súborov, ale prispievajú aj k pokračovaniu nezákonných aktivít.

Aj keď je odstránenie AeR Ransomware zo systému kľúčové, aby sa zabránilo ďalšiemu šifrovaniu údajov, je nevyhnutné poznamenať, že tento proces sám o sebe neobnoví už napadnuté súbory. Primárne riešenie spočíva v obnove súborov zo zabezpečenej zálohy za predpokladu, že je k dispozícii. To podčiarkuje dôležitosť udržiavania pravidelných a spoľahlivých postupov zálohovania ako integrálnej súčasti efektívnej stratégie kybernetickej bezpečnosti.

Výkupné AeR zobrazené ako kontextové okno je:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Ako získať bitcoiny
Najjednoduchší spôsob nákupu bitcoinov je stránka LocalBitcoins. Musíte sa zaregistrovať, kliknúť na „Kúpiť bitcoiny“ a vybrať predajcu podľa spôsobu platby a ceny.
hxxps://localbitcoins.com/buy_bitcoins
Môžete tiež nájsť ďalšie miesta na nákup bitcoinov a sprievodcu pre začiatočníkov tu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pozor!
Nepremenovávajte šifrované súbory.
Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to spôsobiť trvalú stratu údajov.
Dešifrovanie vašich súborov pomocou tretích strán môže spôsobiť zvýšenie ceny (pripočítajú nám svoj poplatok) alebo sa môžete stať obeťou podvodu.

Textové súbory vygenerované hrozbou obsahujú nasledujúcu správu:

Chcete sa vrátiť?

napíšte e-mail aerossh@nerdmail.co alebo aerossh@cock.li alebo aerossh@proton.me'