AeR Ransomware
АеР је претећи програм који је стратешки креиран за шифровање датотека на компромитованим уређајима, захтевајући плаћање откупнине за њихово дешифровање. Откриће АеР рансомваре-а догодило се током темељних анализа које су спровели истраживачи безбедности информација док су истраживали потенцијалне претње од малвера.
Након активације унутар компромитованих уређаја, АеР покреће процес шифровања, циљајући на разноврстан низ типова датотека и мењајући њихова оригинална имена датотека. Почетни наслови датотека пролазе кроз трансформацију, уз додавање јединственог ИД-а додељеног жртви, адресе е-поште која припада сајбер криминалцима и екстензије „.АеР“. Илустрације ради, датотека која је првобитно означена као „1.доц“ би била трансформисана у „1.доц.ид-9ЕЦФА74Е.[аероссх@нердмаил.цо].АеР.“
Након процеса шифровања, АеР Рансомваре генерише две различите белешке о откупнини. Текстуалне датотеке под називом 'инфо.ткт' су стратешки постављене на радну површину и унутар погођених директоријума. Истовремено, порука која захтева откуп је видљиво приказана у искачућем прозору. Важно је напоменути да је АеР Рансомваре класификован као део Дхарма породице малвера, што указује на његову повезаност са специфичном линијом претећег софтвера.
АеР Рансомваре узима датотеке као таоце и тражи откупнину
Белешке о откупнини које генерише АеР Рансомваре испоручују се у два различита формата. Док текстуална датотека под називом 'инфо.ткт' у суштини позива жртву да успостави контакт са сајбер криминалцима одговорним за напад, пратећи искачући прозор пружа детаљније информације о ситуацији. У искачућем прозору, жртва је обавештена да су њихови фајлови подвргнути шифровању.
Порука о откупнини у искачућем прозору укључује уверавања да је опоравак података изводљив. Ипак, то имплицира да процес дешифровања зависи од плаћања откупнине у Битцоин криптовалути. Поред тога, жртви се нуди ограничена прилика да тестира процес дешифровања за највише три датотеке, у складу са одређеним критеријумима. Порука се завршава експлицитним упозорењима у вези са последицама непоштовања.
АеР Рансомваре је идентификован као део Дхарма малвер групе, што указује на његову повезаност са специфичном линијом злонамерног софтвера. Програми унутар ове групе показују способност да модификују или шифрују и локалне и мрежне датотеке. Посебно, Дхарма Рансомваре користи стратегију прекида процеса повезаних са отвореним датотекама, као што су читачи текстуалних датотека или програми базе података. Овај приступ помаже рансомваре-у да избегне изузећа од шифровања до којих може доћи због садржаја који се сматра „у употреби“.
Одређени подаци се аутоматски искључују из процеса шифровања како би се спречили потенцијални проблеми у раду, као што су системске датотеке, које би, ако су шифроване, могле учинити да уређај не ради. Поред тога, датотеке које је већ закључао други рансомвер су изузети од шифровања на основу унапред одређене листе злонамерног софтвера. Међутим, овај механизам није беспрекоран, јер не обухвата све могуће програме типа рансомваре-а, остављајући потенцијалне рањивости у процесу искључивања.
Варијанте Дхарма Рансомваре-а успостављају механизме постојаности
Софтвер Дхарма користи различите технике како би осигурао његову постојаност на компромитованим системима. Један метод укључује копирање малвера на путању %ЛОЦАЛАППДАТА% и регистровање помоћу одређених Рун кључева, омогућавајући аутоматско извршавање при сваком поновном покретању система. Да би додатно осујетио напоре опоравка, рансомваре предузима проактивни корак брисања копија сенке.
Поред ових мера упорности, Дхарма програми показују ниво софистицираности узимајући у обзир геолокацију жртава. Ова функционалност им омогућава да прилагоде своје нападе, избегавајући регионе са економским изазовима где је мање вероватно да ће кућни корисници приуштити исплате откупнине. Малвер такође може да бира мете на основу геополитичких разлога.
Ослањајући се на опсежну анализу и истраживање бројних инфекција рансомвером, постаје очигледно да је дешифровање без учешћа нападача обично непремостив изазов. Чак и у случајевима када се жртве одлуче да плате откуп, не постоји гаранција да ће добити неопходне кључеве или софтвер за дешифровање. Као резултат тога, изричито се саветује да не подлегнете захтевима за откупнину, јер такве радње не само да не обезбеђују враћање фајлова већ и доприносе одржавању нелегалних активности.
Иако је уклањање АеР Рансомваре-а из система кључно за спречавање даљег шифровања података, битно је напоменути да сам овај процес неће вратити датотеке које су већ компромитоване. Основно решење лежи у опоравку датотека из безбедне резервне копије, под претпоставком да је она доступна. Ово наглашава важност одржавања редовних и поузданих пракси прављења резервних копија као интегралне компоненте ефикасне стратегије сајбер безбедности.
Обавештење о откупнини АеР приказано као искачући прозор је:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Како доћи до биткоина
Најлакши начин за куповину биткоина је сајт ЛоцалБитцоинс. Морате се регистровати, кликнути на 'Купи биткоине' и одабрати продавца по начину плаћања и цени.
хккпс://лоцалбитцоинс.цом/буи_битцоинс
Такође можете пронаћи друга места за куповину биткоина и водич за почетнике овде:
хккп://ввв.цоиндеск.цом/информатион/хов-цан-и-буи-битцоинс/Пажња!
Немојте преименовати шифроване датотеке.
Не покушавајте да дешифрујете своје податке помоћу софтвера треће стране, то може довести до трајног губитка података.
Дешифровање ваших датотека уз помоћ трећих страна може довести до повећања цене (они додају своју накнаду на нашу) или можете постати жртва преваре.Текстуалне датотеке које је генерисала претња садрже следећу поруку:
Хоћеш да се вратиш?
напишите имејл аероссх@нердмаил.цо или аероссх@цоцк.ли или аероссх@протон.ме'
