AeR Ransomware

AeR är ett hotfullt program som är strategiskt utformat för att kryptera filer på komprometterade enheter och kräver lösensumma för deras dekryptering. Upptäckten av AeR ransomware inträffade under noggranna analyser som utfördes av informationssäkerhetsforskare under undersökning av potentiella skadliga hot.

Vid aktivering inom de komprometterade enheterna initierar AeR krypteringsprocessen, riktar sig mot en mängd olika filtyper och ändrar deras ursprungliga filnamn. De första titlarna på filer genomgår en omvandling, med tillägg av ett unikt ID som tilldelas offret, e-postadressen som tillhör cyberbrottslingarna och tillägget '.AeR'. För att illustrera skulle en fil som ursprungligen märktes som '1.doc' omvandlas till '1.doc.id-9ECFA74E.[aerosh@nerdmail.co].AeR.'

Efter krypteringsprocessen genererar AeR Ransomware två distinkta lösensedlar. Textfiler med namnet 'info.txt' placeras strategiskt på skrivbordet och i berörda kataloger. Samtidigt visas ett meddelande som kräver lösensumma tydligt i ett popup-fönster. Det är anmärkningsvärt att AeR Ransomware klassificeras som en del av Dharma -familjen av skadliga hot, vilket indikerar dess koppling till en specifik linje av hotfull programvara.

AeR Ransomware tar filerna som gisslan och kräver lösen

Lösensedlarna som genereras av AeR Ransomware levereras i två olika format. Medan textfilen med namnet 'info.txt' i huvudsak uppmanar offret att ta kontakt med de cyberbrottslingar som är ansvariga för attacken, ger det medföljande popup-fönstret mer detaljerad information om situationen. I popup-fönstret informeras offret om att deras filer har genomgått kryptering.

Lösenmeddelandet i popup-fönstret innehåller försäkringar om att dataåterställning är möjlig. Ändå innebär det att dekrypteringsprocessen är beroende av betalningen av en lösensumma i Bitcoin kryptovaluta. Dessutom erbjuds offret en begränsad möjlighet att testa dekrypteringsprocessen för upp till tre filer, enligt specifika kriterier. Meddelandet avslutas med uttryckliga varningar om konsekvenserna av bristande efterlevnad.

AeR Ransomware identifieras som en del av Dharma malware-gruppen, vilket indikerar dess koppling till en specifik linje av skadlig programvara. Program inom denna grupp uppvisar förmågan att modifiera eller kryptera både lokala och nätverksdelade filer. Noterbart är att Dharma Ransomware använder en strategi för att avsluta processer kopplade till öppna filer, såsom textfilläsare eller databasprogram. Det här tillvägagångssättet hjälper ransomware att undvika undantag från kryptering som kan uppstå på grund av att innehållet anses "används".

Vissa data exkluderas automatiskt från krypteringsprocessen för att förhindra potentiella driftsproblem, såsom systemfiler, som, om de krypteras, kan göra att enheten inte fungerar. Dessutom är filer som redan är låsta av andra ransomware undantagna från kryptering baserat på en förutbestämd skadlig lista. Denna mekanism är dock inte felfri, eftersom den inte omfattar alla möjliga ransomware-program, vilket lämnar potentiella sårbarheter i uteslutningsprocessen.

Dharma Ransomware-varianter etablerar persistensmekanismer

Dharma-mjukvaran använder olika tekniker för att säkerställa dess uthållighet på komprometterade system. En metod innebär att kopiera skadlig programvara till %LOCALAPPDATA%-sökvägen och registrera den med specifika Run-nycklar, vilket möjliggör automatisk körning vid varje omstart av systemet. För att ytterligare motverka återställningsinsatser tar ransomware det proaktiva steget att ta bort Shadow Volume Copies.

Utöver dessa uthållighetsåtgärder uppvisar Dharma-programmen en nivå av sofistikering genom att ta hänsyn till offrens geolokalisering. Den här funktionen låter dem skräddarsy sina attacker och undviker regioner med ekonomiska utmaningar där hemanvändare kan vara mindre benägna att ha råd med lösensumma. Skadlig programvara kan också välja mål baserat på geopolitiska överväganden.

Med hjälp av omfattande analys och forskning av många ransomware-infektioner blir det uppenbart att dekryptering utan inblandning av angriparna vanligtvis är en oöverstiglig utmaning. Även i fall där offren väljer att betala lösensumman, finns det ingen garanti för att få de nödvändiga dekrypteringsnycklarna eller programvaran. Som ett resultat avråds det starkt från att ge efter för krav på lösen, eftersom sådana åtgärder inte bara misslyckas med att säkerställa filåterställning utan också bidrar till att upprätthålla olaglig verksamhet.

Även om borttagningen av AeR Ransomware från systemet är avgörande för att förhindra ytterligare datakryptering, är det viktigt att notera att denna process ensam inte kommer att återställa filer som redan är komprometterade. Den primära lösningen ligger i att återställa filer från en säker säkerhetskopia, förutsatt att en är tillgänglig. Detta understryker vikten av att upprätthålla regelbundna och tillförlitliga säkerhetskopieringsmetoder som en integrerad komponent i en effektiv cybersäkerhetsstrategi.

Lösennotan AeR visar som ett popup-fönster är:

'All your files have been encrypted!

Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.me

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hur man skaffar Bitcoins
Det enklaste sättet att köpa bitcoins är LocalBitcoins webbplats. Du måste registrera dig, klicka på "Köp bitcoins" och välja säljare efter betalningsmetod och pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan också hitta andra ställen att köpa Bitcoins och nybörjarguide här:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli offer för en bluff.

Textfilerna som skapas av hotet innehåller följande meddelande:

Vill du tillbaka?

skriv e-post aerossh@nerdmail.co eller aerossh@cock.li eller aerossh@proton.me'