AeR แรนซัมแวร์
AeR เป็นโปรแกรมคุกคามที่สร้างขึ้นอย่างมีกลยุทธ์เพื่อเข้ารหัสไฟล์บนอุปกรณ์ที่ถูกบุกรุก โดยเรียกร้องค่าไถ่สำหรับการถอดรหัส การค้นพบแรนซัมแวร์ AeR เกิดขึ้นระหว่างการวิเคราะห์อย่างละเอียดที่ดำเนินการโดยนักวิจัยด้านความปลอดภัยของข้อมูล ขณะเดียวกันก็ตรวจสอบภัยคุกคามมัลแวร์ที่อาจเกิดขึ้น
เมื่อเปิดใช้งานภายในอุปกรณ์ที่ถูกบุกรุก AeR จะเริ่มกระบวนการเข้ารหัส โดยกำหนดเป้าหมายอาร์เรย์ประเภทไฟล์ที่หลากหลาย และแก้ไขชื่อไฟล์ดั้งเดิม ชื่อเริ่มต้นของไฟล์ได้รับการเปลี่ยนแปลง โดยมีการเพิ่ม ID เฉพาะที่กำหนดให้กับเหยื่อ ที่อยู่อีเมลของอาชญากรไซเบอร์ และนามสกุล '.AeR' เพื่อเป็นการแสดงให้เห็น ไฟล์ที่เดิมมีป้ายกำกับว่า '1.doc' จะถูกแปลงเป็น '1.doc.id-9ECFA74E.[aerossh@nerdmail.co].AeR'
หลังจากขั้นตอนการเข้ารหัส AeR Ransomware จะสร้างบันทึกค่าไถ่ที่แตกต่างกันสองรายการ ไฟล์ข้อความชื่อ 'info.txt' จะถูกวางไว้อย่างมีกลยุทธ์บนเดสก์ท็อปและภายในไดเร็กทอรีที่ได้รับผลกระทบ ขณะเดียวกัน ข้อความเรียกร้องค่าไถ่จะแสดงอย่างเด่นชัดในหน้าต่างป๊อปอัป เป็นที่น่าสังเกตว่า AeR Ransomware ถูกจัดประเภทเป็นส่วนหนึ่งของภัยคุกคามมัลแวร์ตระกูล Dharma ซึ่งบ่งบอกถึงความเกี่ยวข้องกับซอฟต์แวร์คุกคามโดยเฉพาะ
AeR Ransomware จับไฟล์เป็นตัวประกันและเรียกค่าไถ่
บันทึกค่าไถ่ที่สร้างโดย AeR Ransomware จะถูกจัดส่งในสองรูปแบบที่แตกต่างกัน แม้ว่าไฟล์ข้อความชื่อ 'info.txt' จะกระตุ้นให้เหยื่อสร้างการติดต่อกับอาชญากรไซเบอร์ที่รับผิดชอบต่อการโจมตี หน้าต่างป๊อปอัปที่ให้มาจะให้ข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับสถานการณ์ ในป๊อปอัป เหยื่อจะได้รับแจ้งว่าไฟล์ของพวกเขาได้รับการเข้ารหัส
ข้อความเรียกค่าไถ่ในหน้าต่างป๊อปอัปรับประกันว่าการกู้คืนข้อมูลเป็นไปได้ ถึงกระนั้น มันก็บอกเป็นนัยว่ากระบวนการถอดรหัสขึ้นอยู่กับการชำระค่าไถ่ใน Bitcoin cryptocurrency นอกจากนี้ เหยื่อยังได้รับโอกาสที่จำกัดในการทดสอบกระบวนการถอดรหัสสำหรับไฟล์สูงสุดสามไฟล์ โดยขึ้นอยู่กับเกณฑ์เฉพาะ ข้อความปิดท้ายด้วยคำเตือนที่ชัดเจนเกี่ยวกับผลที่ตามมาของการไม่ปฏิบัติตาม
AeR Ransomware ถูกระบุว่าเป็นส่วนหนึ่งของกลุ่มมัลแวร์ Dharma ซึ่งบ่งบอกถึงความเกี่ยวข้องกับซอฟต์แวร์ที่เป็นอันตรายโดยเฉพาะ โปรแกรมภายในกลุ่มนี้แสดงความสามารถในการแก้ไขหรือเข้ารหัสทั้งไฟล์ในเครื่องและไฟล์ที่แชร์บนเครือข่าย โดยเฉพาะอย่างยิ่ง Dharma Ransomware ใช้กลยุทธ์ในการยกเลิกกระบวนการที่เชื่อมโยงกับไฟล์ที่เปิดอยู่ เช่น โปรแกรมอ่านไฟล์ข้อความหรือโปรแกรมฐานข้อมูล วิธีการนี้ช่วยให้แรนซัมแวร์หลบเลี่ยงการยกเว้นจากการเข้ารหัสที่อาจเกิดขึ้นเนื่องจากเนื้อหาที่ถือว่า 'ใช้งานอยู่'
ข้อมูลบางอย่างจะถูกแยกออกจากกระบวนการเข้ารหัสโดยอัตโนมัติ เพื่อป้องกันปัญหาการดำเนินงานที่อาจเกิดขึ้น เช่น ไฟล์ระบบ ซึ่งหากได้รับการเข้ารหัสอาจทำให้อุปกรณ์ไม่ทำงานได้ นอกจากนี้ ไฟล์ที่ถูกล็อคโดยแรนซัมแวร์อื่นแล้วจะได้รับการยกเว้นจากการเข้ารหัสตามรายการมัลแวร์ที่กำหนดไว้ล่วงหน้า อย่างไรก็ตาม กลไกนี้ไม่ได้ไร้ที่ติ เนื่องจากไม่ได้รวมโปรแกรมประเภทแรนซัมแวร์ที่เป็นไปได้ทั้งหมด ทำให้เกิดช่องโหว่ที่อาจเกิดขึ้นในกระบวนการแยกออก
แรนซั่มแวร์ Dharma หลากหลายรูปแบบสร้างกลไกการคงอยู่
ซอฟต์แวร์ Dharma ใช้เทคนิคต่างๆ เพื่อให้แน่ใจว่าซอฟต์แวร์จะคงอยู่ในระบบที่ถูกบุกรุก วิธีหนึ่งเกี่ยวข้องกับการคัดลอกมัลแวร์ไปยังเส้นทาง %LOCALAPPDATA% และลงทะเบียนด้วยปุ่ม Run เฉพาะ เปิดใช้งานการดำเนินการอัตโนมัติเมื่อรีสตาร์ทระบบแต่ละครั้ง เพื่อขัดขวางความพยายามในการกู้คืนเพิ่มเติม แรนซัมแวร์จึงใช้ขั้นตอนเชิงรุกในการลบ Shadow Volume Copies
นอกเหนือจากมาตรการการคงอยู่เหล่านี้ โปรแกรมธรรมะยังแสดงระดับความซับซ้อนโดยพิจารณาจากตำแหน่งทางภูมิศาสตร์ของเหยื่อ ฟังก์ชั่นนี้ช่วยให้พวกเขาปรับแต่งการโจมตีได้ โดยหลีกเลี่ยงภูมิภาคที่มีความท้าทายทางเศรษฐกิจ ซึ่งผู้ใช้ตามบ้านอาจมีโอกาสน้อยที่จะจ่ายค่าไถ่ มัลแวร์ยังสามารถเลือกเป้าหมายตามการพิจารณาทางภูมิศาสตร์การเมืองได้
จากการวิเคราะห์และการวิจัยอย่างกว้างขวางเกี่ยวกับการติดแรนซัมแวร์จำนวนมาก เห็นได้ชัดว่าการถอดรหัสโดยไม่ต้องให้ผู้โจมตีเข้ามาเกี่ยวข้องนั้นเป็นความท้าทายที่ผ่านไม่ได้ แม้ว่าในกรณีที่เหยื่อเลือกที่จะจ่ายค่าไถ่ ก็ไม่มีการรับประกันว่าจะได้รับคีย์ถอดรหัสหรือซอฟต์แวร์ที่จำเป็น ด้วยเหตุนี้ ขอแนะนำอย่างยิ่งว่าอย่ายอมจำนนต่อการเรียกร้องค่าไถ่ เนื่องจากการกระทำดังกล่าวไม่เพียงแต่ล้มเหลวในการรับประกันการกู้คืนไฟล์เท่านั้น แต่ยังมีส่วนทำให้กิจกรรมที่ผิดกฎหมายคงอยู่ต่อไปอีกด้วย
แม้ว่าการลบ AeR Ransomware ออกจากระบบมีความสำคัญอย่างยิ่งในการป้องกันการเข้ารหัสข้อมูลเพิ่มเติม แต่สิ่งสำคัญคือต้องทราบว่ากระบวนการนี้เพียงอย่างเดียวจะไม่กู้คืนไฟล์ที่ถูกบุกรุกแล้ว วิธีแก้ปัญหาหลักอยู่ที่การกู้คืนไฟล์จากการสำรองข้อมูลที่ปลอดภัย โดยสมมติว่ามีอยู่ สิ่งนี้เน้นย้ำถึงความสำคัญของการรักษาแนวทางปฏิบัติในการสำรองข้อมูลอย่างสม่ำเสมอและเชื่อถือได้ ซึ่งเป็นองค์ประกอบสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ
หมายเหตุเรียกค่าไถ่ AeR จะแสดงเป็นหน้าต่างป๊อปอัปคือ:
'All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: aerossh@cock.li YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:aerossh@proton.meFree decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)วิธีรับ Bitcoins
วิธีที่ง่ายที่สุดในการซื้อ bitcoins คือไซต์ LocalBitcoins คุณต้องลงทะเบียน คลิก 'ซื้อ bitcoins' และเลือกผู้ขายตามวิธีการชำระเงินและราคา
hxxps://localbitcoins.com/buy_bitcoins
คุณสามารถหาสถานที่อื่น ๆ เพื่อซื้อ Bitcoins และคู่มือผู้เริ่มต้นได้ที่นี่:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/ความสนใจ!
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์บุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือจากบุคคลที่สามอาจทำให้ราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวงได้ไฟล์ข้อความที่สร้างโดยภัยคุกคามประกอบด้วยข้อความต่อไปนี้:
คุณต้องการที่จะกลับมา?
เขียนอีเมล aerossh@nerdmail.co หรือ aerossh@cock.li หรือ aerossh@proton.me'
