AeR Ransomware

AeR je nevaren program, ki je strateško oblikovan za šifriranje datotek na ogroženih napravah in zahteva odkupnino za njihovo dešifriranje. Do odkritja izsiljevalske programske opreme AeR je prišlo med temeljitimi analizami, ki so jih izvedli raziskovalci informacijske varnosti med raziskovanjem potencialnih groženj zlonamerne programske opreme.

Po aktivaciji v ogroženih napravah AeR sproži postopek šifriranja, cilja na raznolik niz vrst datotek in spreminja njihova izvirna imena datotek. Začetni naslovi datotek so podvrženi preoblikovanju z dodatkom edinstvenega ID-ja, dodeljenega žrtvi, e-poštnega naslova, ki pripada kiberkriminalcem, in končnice '.AeR'. Za ponazoritev, datoteka, prvotno označena kot '1.doc', bi bila preoblikovana v '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Po postopku šifriranja AeR Ransomware ustvari dve različni obvestili o odkupnini. Besedilne datoteke z imenom 'info.txt' so strateško nameščene na namizju in znotraj prizadetih imenikov. Hkrati se v pojavnem oknu vidno prikaže sporočilo z zahtevo po odkupnini. Omeniti velja, da je izsiljevalska programska oprema AeR razvrščena kot del družine groženj zlonamerne programske opreme Dharma , kar kaže na njeno povezavo s posebnim rodom nevarne programske opreme.

Izsiljevalska programska oprema AeR vzame datoteke za talca in zahteva odkupnino

Opombe o odkupnini, ki jih ustvari izsiljevalska programska oprema AeR, so dostavljene v dveh različnih oblikah. Medtem ko besedilna datoteka z imenom 'info.txt' v bistvu poziva žrtev, naj vzpostavi stik s kibernetskimi kriminalci, odgovornimi za napad, spremljajoče pojavno okno ponuja podrobnejše informacije o situaciji. V pojavnem oknu je žrtev obveščena, da so bile njene datoteke šifrirane.

Sporočilo o odkupnini v pojavnem oknu vključuje zagotovila, da je obnovitev podatkov izvedljiva. Kljub temu pomeni, da je postopek dešifriranja odvisen od plačila odkupnine v kriptovaluti Bitcoin. Poleg tega je žrtvi ponujena omejena možnost, da preizkusi postopek dešifriranja za do tri datoteke, glede na posebna merila. Sporočilo se zaključi z izrecnimi opozorili glede posledic neupoštevanja.

Izsiljevalska programska oprema AeR je opredeljena kot del skupine zlonamerne programske opreme Dharma, kar kaže na njeno povezavo z določeno vrsto zlonamerne programske opreme. Programi znotraj te skupine kažejo zmožnost spreminjanja ali šifriranja lokalnih datotek in datotek v skupni rabi omrežja. Predvsem izsiljevalska programska oprema Dharma uporablja strategijo prekinitve procesov, povezanih z odprtimi datotekami, kot so bralniki besedilnih datotek ali programi za zbirke podatkov. Ta pristop pomaga izsiljevalski programski opremi, da se izogne izjemam od šifriranja, do katerih lahko pride zaradi vsebine, ki velja za "v uporabi".

Nekateri podatki so samodejno izključeni iz postopka šifriranja, da se preprečijo morebitne operativne težave, kot so sistemske datoteke, zaradi katerih bi lahko naprava, če bi bila šifrirana, onemogočila delovanje. Poleg tega so datoteke, ki so že zaklenjene z drugo izsiljevalsko programsko opremo, izvzete iz šifriranja na podlagi vnaprej določenega seznama zlonamerne programske opreme. Vendar pa ta mehanizem ni brezhiben, saj ne zajema vseh možnih programov tipa izsiljevalske programske opreme, zaradi česar so možne ranljivosti v procesu izključitve.

Različice izsiljevalske programske opreme Dharma vzpostavljajo mehanizme obstojnosti

Programska oprema Dharma uporablja različne tehnike za zagotavljanje obstojnosti v ogroženih sistemih. Ena metoda vključuje kopiranje zlonamerne programske opreme na pot %LOCALAPPDATA% in njeno registracijo s posebnimi ključi Run, kar omogoča samodejno izvajanje ob vsakem ponovnem zagonu sistema. Da bi dodatno preprečila prizadevanja za obnovitev, izsiljevalska programska oprema naredi proaktiven korak in izbriše kopije senčnih nosilcev.

Poleg teh ukrepov vztrajnosti programi Dharma izkazujejo raven prefinjenosti z upoštevanjem geolokacije žrtev. Ta funkcija jim omogoča, da prilagodijo svoje napade in se izognejo regijam z gospodarskimi izzivi, kjer je manj verjetno, da si bodo domači uporabniki privoščili plačilo odkupnine. Zlonamerna programska oprema lahko izbere cilje tudi na podlagi geopolitičnih vidikov.

Na podlagi obsežne analize in raziskav številnih okužb z izsiljevalsko programsko opremo postane očitno, da je dešifriranje brez vpletenosti napadalcev običajno nepremostljiv izziv. Tudi v primerih, ko se žrtve odločijo plačati odkupnino, ni zagotovila, da bodo prejele potrebne ključe za dešifriranje ali programsko opremo. Zato močno odsvetujemo, da podležejo zahtevam po odkupnini, saj takšna dejanja ne samo da ne zagotavljajo obnovitve datotek, ampak tudi prispevajo k ohranjanju nezakonitih dejavnosti.

Medtem ko je odstranitev izsiljevalske programske opreme AeR iz sistema ključnega pomena za preprečitev nadaljnjega šifriranja podatkov, je pomembno upoštevati, da sam ta postopek ne bo obnovil že ogroženih datotek. Primarna rešitev je obnovitev datotek iz varne varnostne kopije, če je na voljo. To poudarja pomen vzdrževanja rednih in zanesljivih praks varnostnega kopiranja kot sestavnega dela učinkovite strategije kibernetske varnosti.

Opomba o odkupnini AeR, prikazana kot pojavno okno, je:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo pristojbino naši) ali pa postanete žrtev prevare.

Besedilne datoteke, ki jih ustvari grožnja, vsebujejo naslednje sporočilo:

Se želite vrniti?

pišite na aerossh@nerdmail.co ali aerossh@cock.li ali aerossh@proton.me'