AeR Ransomware

AeR është një program kërcënues i krijuar në mënyrë strategjike për të enkriptuar skedarët në pajisjet e komprometuara, duke kërkuar pagesa shpërblimi për deshifrimin e tyre. Zbulimi i ransomware AeR ndodhi gjatë analizave të plota të kryera nga studiues të sigurisë së informacionit gjatë hetimit të kërcënimeve të mundshme të malware.

Pas aktivizimit brenda pajisjeve të komprometuara, AeR fillon procesin e kriptimit, duke synuar një grup të ndryshëm të llojeve të skedarëve dhe duke modifikuar emrat e tyre origjinalë. Titujt fillestarë të dosjeve i nënshtrohen një transformimi, me shtimin e një ID unike të caktuar për viktimën, adresën e emailit që i përket kriminelëve kibernetikë dhe shtesën '.AeR'. Për ta ilustruar, një skedar i etiketuar fillimisht si '1.doc' do të transformohej në '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR.'

Pas procesit të enkriptimit, AeR Ransomware gjeneron dy shënime të dallueshme për shpërblesë. Skedarët e tekstit të quajtur 'info.txt' vendosen në mënyrë strategjike në desktop dhe brenda drejtorive të prekura. Njëkohësisht, një mesazh që kërkon shpërblim shfaqet dukshëm në një dritare që shfaqet. Vlen të përmendet se AeR Ransomware është klasifikuar si pjesë e familjes Dharma të kërcënimeve të malware, duke treguar lidhjen e tij me një linjë specifike të softuerit kërcënues.

AeR Ransomware i merr skedarët peng dhe kërkon shpërblim

Shënimet e shpërblesës të krijuara nga AeR Ransomware dorëzohen në dy formate të ndryshme. Ndërsa skedari i tekstit i quajtur 'info.txt' në thelb e nxit viktimën të krijojë kontakt me kriminelët kibernetikë përgjegjës për sulmin, dritarja pop-up shoqëruese ofron informacion më të detajuar rreth situatës. Në dritaren kërcyese, viktima informohet se skedarët e tyre i janë nënshtruar enkriptimit.

Mesazhi i shpërblimit në dritaren kërcyese përfshin garanci se rikuperimi i të dhënave është i realizueshëm. Megjithatë, kjo nënkupton që procesi i deshifrimit varet nga pagesa e një shpërblimi në kriptomonedhën Bitcoin. Për më tepër, viktimës i ofrohet një mundësi e kufizuar për të testuar procesin e deshifrimit deri në tre skedarë, duke iu nënshtruar kritereve specifike. Mesazhi përfundon me paralajmërime të qarta në lidhje me pasojat e mospërputhjes.

AeR Ransomware është identifikuar si pjesë e grupit të malware Dharma, duke treguar lidhjen e tij me një linjë specifike të softuerit me qëllim të keq. Programet brenda këtij grupi shfaqin aftësinë për të modifikuar ose enkriptuar skedarët lokalë dhe ato të përbashkëta në rrjet. Veçanërisht, Dharma Ransomware përdor një strategji të përfundimit të proceseve të lidhura me skedarë të hapur, siç janë lexuesit e skedarëve të tekstit ose programet e bazës së të dhënave. Kjo qasje e ndihmon ransomware-in të shmangë përjashtimet nga kriptimi që mund të ndodhin për shkak të përmbajtjes që konsiderohet 'në përdorim'.

Disa të dhëna përjashtohen automatikisht nga procesi i enkriptimit për të parandaluar probleme të mundshme operacionale, të tilla si skedarët e sistemit, të cilët, nëse kodohen, mund ta bëjnë pajisjen jofunksionale. Për më tepër, skedarët tashmë të kyçur nga ransomware të tjerë përjashtohen nga kriptimi bazuar në një listë të paracaktuar malware. Megjithatë, ky mekanizëm nuk është i përsosur, pasi nuk përfshin të gjitha programet e mundshme të tipit ransomware, duke lënë dobësi të mundshme në procesin e përjashtimit.

Variantet Dharma Ransomware vendosin mekanizma të qëndrueshmërisë

Softueri Dharma përdor teknika të ndryshme për të siguruar qëndrueshmërinë e tij në sistemet e komprometuara. Një metodë përfshin kopjimin e malware në shtegun %LOCALAPPDATA% dhe regjistrimin e tij me çelësa specifikë Run, duke mundësuar ekzekutimin automatik me çdo rinisje të sistemit. Për të penguar më tej përpjekjet për rikuperim, ransomware ndërmerr hapin proaktiv për të fshirë Kopjet e Vëllimit të Shadow.

Përveç këtyre masave këmbëngulëse, programet Dharma shfaqin një nivel të sofistikimit duke marrë parasysh vendndodhjen e viktimave. Ky funksionalitet i lejon ata të përshtatin sulmet e tyre, duke shmangur rajonet me sfida ekonomike ku përdoruesit e shtëpisë mund të kenë më pak gjasa të përballojnë pagesat e shpërblesës. Malware gjithashtu mund të zgjedhë objektiva bazuar në konsiderata gjeopolitike.

Duke u mbështetur në analiza dhe hulumtime të gjera të infeksioneve të shumta ransomware, bëhet e qartë se deshifrimi pa përfshirjen e sulmuesve është zakonisht një sfidë e pakapërcyeshme. Edhe në rastet kur viktimat zgjedhin të paguajnë shpërblimin, nuk ka asnjë garanci për marrjen e çelësave ose softuerit të nevojshëm të deshifrimit. Si rezultat, këshillohet fuqimisht të mos dorëzoheni ndaj kërkesave për shpërblim, pasi veprime të tilla jo vetëm që nuk sigurojnë rikuperimin e dosjeve, por gjithashtu kontribuojnë në vazhdimësinë e aktiviteteve të paligjshme.

Ndërsa heqja e AeR Ransomware nga sistemi është thelbësore për të parandaluar enkriptimin e mëtejshëm të të dhënave, është thelbësore të theksohet se vetëm ky proces nuk do të rivendosë skedarët tashmë të komprometuar. Zgjidhja kryesore qëndron në rikuperimin e skedarëve nga një kopje rezervë e sigurt, duke supozuar se një i tillë është i disponueshëm. Kjo nënvizon rëndësinë e mbajtjes së praktikave të rregullta dhe të besueshme rezervë si një komponent integral i një strategjie efektive të sigurisë kibernetike.

Shënimi i shpërblimit AeR që shfaqet si një dritare kërcyese është:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Si të merrni Bitcoins
Mënyra më e lehtë për të blerë bitcoin është faqja LocalBitcoins. Duhet të regjistroheni, të klikoni 'Bli bitcoin' dhe të zgjidhni shitësin sipas mënyrës së pagesës dhe çmimit.
hxxps://localbitcoins.com/buy_bitcoins
Gjithashtu mund të gjeni vende të tjera për të blerë Bitcoin dhe udhëzues për fillestarët këtu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Kujdes!
Mos riemërtoni skedarët e enkriptuar.
Mos u përpiqni të deshifroni të dhënat tuaja duke përdorur softuer të palëve të treta, kjo mund të shkaktojë humbje të përhershme të të dhënave.
Deshifrimi i skedarëve tuaj me ndihmën e palëve të treta mund të shkaktojë rritje të çmimit (ata shtojnë tarifën e tyre tek ne) ose ju mund të bëheni viktimë e një mashtrimi.

Skedarët e tekstit të krijuar nga kërcënimi përmbajnë mesazhin e mëposhtëm:

Dëshironi të ktheheni?

shkruani email aerossh@nerdmail.co ose aerossh@cock.li ose aerossh@proton.me'